我发现这个问题关于 DMZ 以及何时将服务器放置在 DMZ 中,非常有启发性。
我们正在重组公司内部网络(保留相同的外部 IP 和域),我们的主要Windows 服务器(我们大量使用 WinAD)将保留在 LAN 上,并配有防火墙和端口转发来引导外部流量。
将服务器(例如:电子邮件)设置在与内部网络其他部分不同的 VLAN 上而不是 DMZ 内,有哪些安全(缺点)优势?
答案1
这有点像苹果和橘子之间的比较。DMZ 是针对具有较大风险的系统的单独网络段;VLAN 是一种在同一物理网络上实现不同逻辑网络之间逻辑分离的机制。
你可能想做的比较是这样的: 我应该通过使用单独的网络基础设施进行物理分离来实现 DMZ,还是通过在同一网络基础设施上进行逻辑分离来实现 DMZ?
对于物理隔离,主要障碍是成本;您将投资专用网络设备来建立少量 DMZ 系统。此外,还需要额外的管理时间来设置和维护该基础设施。
通过 VLAN 分离,您将基本上构建与物理分离相同的逻辑基础设施;具有自己子网的专用 VLAN,在子网之间进行路由的设备将应用访问控制等。
然而,令人担忧的是安全性;共享相同的物理基础设施会增加潜在攻击面的数量,对于已经破坏 DMZ 设备并试图访问非 DMZ 网络的攻击者来说。
当仅使用逻辑分离时,VLAN 跳跃攻击以及针对可访问 DMZ(但服务于两个网络)的网络设备的直接远程攻击都是潜在风险,而且单个设备配置错误会危及网络之间的屏障,风险更大。