Networking

只允許在 LAN->DMZ 方向建立連接是個好主意嗎?

  • February 22, 2014

我正在嘗試設置通常的東西,其中包含可以從 Internet 訪問的伺服器的 DMZ,以及應該盡可能安全的 LAN。

我碰巧在架構上也有完全的自由。鑑於我想讓我的 LAN 區域盡可能安全,我對自己說“有什麼比不能從 DMZ 訪問 LAN 更好的呢”。為此,我會將防火牆配置為阻止 DMZ->LAN 方向的任何傳入連接。

當然,我仍然需要我的前端應用程序在 DMZ 中聯繫受信任的 LAN 伺服器。為了使這成為可能,我考慮只允許在 LAN->DMZ 方向建立連接。

這意味著與通常情況相反,我信任的 LAN 服務將連接到不受信任的 DMZ 前端伺服器。一旦建立 TCP 連接,兩個端點之間的所有請求和響應都將在該連接上多路復用。

就安全性而言,這是個好主意嗎?我還能做些什麼來讓我的 LAN 伺服器更難訪問嗎?你聽說過其他人已經用這種方式保護他們的區域網路了嗎?是不是有什麼東西讓我覺得這只是一個愚蠢的想法?

好的,最小化 DMZ 和 LAN 之間的連接是一個很好的經驗法則,儘管我不會成為這個想法的奴隸(如果你有現場電子郵件伺服器,那麼至少可以說你的電子郵件服務會很有趣,如果你強制它遵守你的想法)。

另外,不要認為這是一種神奇的黑客防禦。如果有人破壞了 DMZ 中的伺服器,那麼他們仍有可能滲透您的網路,具體取決於 DMZ 中的伺服器的配置方式(例如,在 LAN 端 SQL 數據庫和 DMZ 之間有 LAN 端開放連接-如果 Web 伺服器已被 root 並且用於訪問 SQL 伺服器的憑據儲存在 DMZ 伺服器上,則側 Web 伺服器對您幾乎沒有幫助。

此外,如果您使用/儲存的資訊本身很有價值,並且仍然可以被在 DMZ 中紮根伺服器的人竊取,那麼您的建議將無濟於事。

引用自:https://serverfault.com/questions/577600