我看到了很多关于这个主题的帖子,但我仍然感到困惑,所以如果这“显而易见”的话我很抱歉(我不是网络工程师)。
目前我们有一个双区域 DMZ/LAN 设置。不允许从 DMZ 到 LAN 的流量,但允许从 LAN 到 DMZ 的流量。
我需要允许 LAN 上的某些 Web 应用程序从 Internet 访问。据我所知,最好的方法是通过反向代理(在 DMZ 中?)。
但是,如果我无法从 DMZ 访问内部网络,我该如何将流量从 DMZ 重定向到 LAN?我假设我需要打开从 DMZ 到 LAN 的端口 80/443。这似乎违反了整个 DMZ 指令,即不允许任何流量从 DMZ 流向 LAN。
用最简单的术语来说,如何解决这个问题?您是否认识到风险并仅允许从 DMZ 到 LAN 的这两个端口,或者我是否为反向代理引入了一个中间区域(在我看来,这会带来相同的安全风险,不是吗?)?