只允許在 LAN->DMZ 方向建立連接是個好主意嗎？

我正在嘗試設置通常的東西，其中包含可以從 Internet 訪問的伺服器的 DMZ，以及應該盡可能安全的 LAN。

我碰巧在架構上也有完全的自由。鑑於我想讓我的 LAN 區域盡可能安全，我對自己說“有什麼比不能從 DMZ 訪問 LAN 更好的呢”。為此，我會將防火牆配置為阻止 DMZ->LAN 方向的任何傳入連接。

當然，我仍然需要我的前端應用程序在 DMZ 中聯繫受信任的 LAN 伺服器。為了使這成為可能，我考慮只允許在 LAN->DMZ 方向建立連接。

這意味著與通常情況相反，我信任的 LAN 服務將連接到不受信任的 DMZ 前端伺服器。一旦建立 TCP 連接，兩個端點之間的所有請求和響應都將在該連接上多路復用。

就安全性而言，這是個好主意嗎？我還能做些什麼來讓我的 LAN 伺服器更難訪問嗎？你聽說過其他人已經用這種方式保護他們的區域網路了嗎？是不是有什麼東西讓我覺得這只是一個愚蠢的想法？

好的，最小化 DMZ 和 LAN 之間的連接是一個很好的經驗法則，儘管我不會成為這個想法的奴隸（如果你有現場電子郵件伺服器，那麼至少可以說你的電子郵件服務會很有趣，如果你強制它遵守你的想法）。

另外，不要認為這是一種神奇的黑客防禦。如果有人破壞了 DMZ 中的伺服器，那麼他們仍有可能滲透您的網路，具體取決於 DMZ 中的伺服器的配置方式（例如，在 LAN 端 SQL 數據庫和 DMZ 之間有 LAN 端開放連接-如果 Web 伺服器已被 root 並且用於訪問 SQL 伺服器的憑據儲存在 DMZ 伺服器上，則側 Web 伺服器對您幾乎沒有幫助。

此外，如果您使用/儲存的資訊本身很有價值，並且仍然可以被在 DMZ 中紮根伺服器的人竊取，那麼您的建議將無濟於事。

引用自：https://serverfault.com/questions/577600