我有一个组织的网络,包含 4 个区域:内部、外部、DMZ1 和 DMZ2。DMZ1 包含面向外部的服务器 - DNS、WEB 和邮件服务器。DMZ2 托管内部服务器 - Radius、DHCP、数据库、文件和应用程序服务器。所有区域都连接到企业边缘路由器。问题是我不明白区域之间应该允许哪种流量。我的看法是:
内部 - DMZ1:应检查流量,并应允许内部通过端口 25、43、80、53 获取 Web、DNS 和邮件流量。所有其他流量都将被阻止。
内部 - DMZ2:内部应该从 radius、dhcp、数据库、文件和应用程序服务器获取数据包。
外部 - 内部:流量被阻止,仅允许使用 VPN。(公司有两个独立地点,将使用 vPN 进行通信)
DMZ1 - 外部:所有服务器都应该可以从互联网上看到。(不确定)
DMZ2-外部:所有流量均被阻止。
我对网络和安全还很陌生,可能会犯很多错误。我非常希望得到帮助,弄清楚这些区域之间应该传递哪些流量才能使组织正常运行。
答案1
所有的安全措施都必须通过输入输出来体现。只需考虑第一个数据包(所有其他数据包都由连接跟踪处理,除非您的防火墙不支持)。
因此,请创建一个矩阵,将所有区域(内部、外部、DMZ1 和 DMZ2)作为输入,并将该区域作为输出。在每种情况下,您必须定义允许的协议及其相关端口。如果某个案例为空,则流量将被阻止。如果未定义规则,则默认规则为:丢弃数据包。
然后您将能够创建规则。
例如:就你的情况而言,你必须有一个块
- “outside-DMZ1” ,从互联网可以看到服务器。每个服务器 IP 必须链接到相关的 tcp/udp 端口。
- “DMZ1-outside” 必须仅允许来自 DNS 服务器的 80 和 443 端口(用于更新)和 53 端口(用于 DNS)(您可能希望代理仅允许来自一个主机的 80/443 端口)
- “outside-inside” 必须为空:不允许外部连接
- “inside-outside”:定义允许的规则,如 80/tcp、443/tcp、53/udp、53/tcp...
在每种情况下,都尽量做到最严格(从 IP 源、目标、协议、端口进行限制)。
至少,我建议不要命名 DMZ2,因为外部用户从不使用这些服务器。您可以将其命名为“ServersZone”...