我想知道,在你们这些大公司工作的人中,有多少人拥有强制使用三重独立防火墙来获取数据的网络架构。换句话说:
- 通过防火墙将外部(互联网)各方与表示层隔离
- 通过防火墙分离表示层和应用层
- 通过防火墙分离应用程序层和数据层
简而言之:公共->演示->应用程序->数据(其中每个箭头都是一个防火墙)
我的问题如下:我为一家非常大的美国公司工作(员工人数超过 75,000 人),每个环境似乎都有不同数量的分段防火墙。我们想标准化我们的防火墙架构,但是:
- 我们找不到任何真实材料来证明需要三层防火墙(而不是单层防火墙)
- 我们无法限定三层防火墙的增值作用。
- 我们无法确定这是否应该是面向互联网的应用程序的架构,还是适用于所有应用程序/设备/设备的架构。
有什么建议吗?
答案1
这取决于您在网络之外提供什么样的服务,以及您在关键服务前需要多少安全保护。如果您有一个与数据库后端绑定并处理信用卡的电子商务网站,我很容易就能看到需要三层防火墙(至少是为了满足 PCI 要求)。但是,如果您通过锁定的 Web 服务器提供简单的静态内容,那么它可能就像一组具有外部、内部和 dmz 接口的防火墙一样简单。
也许还有一些关于您的设置的详细情况?http://www.sans.org有一些出色的文档来解释纵深防御。