Dmz

從WAN連接到LAN的api?

  • March 1, 2016

我不是應用程序開發人員——我將從這個警告開始。

簡單來說; 我們的開發團隊要求我打開一系列從 WAN 到 LAN 的埠,完全繞過我們的 DMZ。他們說這很好,因為他們的 api 首先從 DMZ 中的兩個網路伺服器保護連接(使用 diffie helman,但這是另一個故事),但有點不確定從 WAN 到 LAN 的開放埠是否安全 - 任何人都可以啟發我從安全的角度來看,這是否可行?

最終使用者不應該總是與 DMZ 通信,然後其中的伺服器與任何內部伺服器進行所有通信嗎?

擁有 DMZ 區域的想法是保護 LAN 免受來自 Internet 的直接訪問。這意味著需要使用者從 Internet 訪問才能執行的服務/伺服器(如 Web 伺服器、電子郵件伺服器等)放在單獨的網路上,並允許從外部進行受控訪問。擁有一個單獨的網路段 (DMZ) 可以為不同的段應用不同的防火牆策略以及從一個段到另一個段的訪問控制。這也使得對易受攻擊的網段進行廣泛的監控成為可能,並且在出現安全漏洞的情況下,內部 LAN 網段可以保持安全。

因此,如果您的組織已經有一個 DMZ 網路和一個適當的策略,那麼新提案就違反了為安全而進行網路分段的想法,需要徹底審查。可能是保留現有網路架構的替代解決方案。

引用自:https://serverfault.com/questions/760659