Networking

將高風險終端與子網的其餘部分隔離

  • March 11, 2021

我有一個安全的子網 172.20.40.0/24,但我的終端無法保證安全,而且我無法控制協議(考場、外部使用者訪問)。我想將它們設置在一個單獨的子網上,以最大限度地減少攻擊媒介,但是它們需要訪問安全子網上的一兩個 IP。我在兩者之間設置了一個虛擬 pfsense 防火牆,起初是在使用 LAN 和 WAN 與 natting 或 VPN 玩,但有點超出我的深度。執行此操作的正確方法是什麼,我可以將其保護到最少的網路訪問。

例子

編輯

這是應用程序訪問的埠列表,包括兩台伺服器 ASDB (172.20.40.9) 和 ASDCFS (172.20.40.11)。如果高風險終端是 172.20.40.100,那麼我限制的最優雅的方式是什麼,所以它只能訪問那些 IP 和埠。

埠列表

您應該將應用程序伺服器從安全網路鏡像到 DMZ。只有在那裡,您的不安全客戶端才能訪問,並且不可能破壞 DMZ 伺服器並進一步訪問安全區域。

重要的是連接安全性:永遠不要從不安全的網路連接到安全的網路。

我會在邊緣安裝一個反向代理,使安全子網和應用程序伺服器無法訪問。

ngnix 和 varnish 是反向代理的不錯選擇。您甚至可以創建一些只允許少數 HTTP 方法和端點目標的規則。

您還可以添加防火牆限制外部流量目標,以僅從反向代理保護子網。

引用自:https://serverfault.com/questions/1054333