Security

在 DMZ 上打一個洞到一個 Web 伺服器有多大的問題?

  • May 25, 2011

我們目前的網路伺服器位於 DMZ 中。Web 伺服器無法看到內部網路中的任何內容,但內部網路可以看到 Web 伺服器。在 DMZ 和內部網路之間的防火牆上打一個洞只連接到內部網路中的一個 Web 伺服器有多安全?我們正在研究與我們的幾個後台應用程序(都在一個伺服器上)互動的東西,如果我們可以直接與保存這些數據的 IBM i 伺服器通信,那麼執行這個項目會容易得多(通過網路服務)。

根據我的理解(而且我不知道品牌),我們有一個用於 DMZ 的防火牆,其外部 IP 與我們的主 IP 和另一個防火牆不同。另一個防火牆位於 Web 伺服器和 Intranet 之間。

所以像:

Web Server  <==== Firewall ===== Intranet
    |                              |
    |                              |
 Firewall                      Firewall
    |                              |
    |                              |
Internet IP1                  Internet IP2

為 DMZ 中的主機創建訪問機制以訪問受保護網路中的主機,這對於實現您的預期結果是必要的,這並沒有錯。這樣做也許並不可取,但有時這是完成工作的唯一方法。

需要考慮的關鍵事項是:

  • 限制對最具體的防火牆規則的訪問。如果可能,請命名規則中涉及的特定主機以及將使用的特定協議(TCP 和/或 UDP 埠)。基本上,只打開你需要的小洞。
  • 確保您正在記錄從 DMZ 主機到受保護網路上的主機的訪問,如果可能,以自動方式分析這些日誌以查找異常情況。你想知道什麼時候發生了不尋常的事情。
  • 認識到您正在向 Internet 公開內部主機,即使是以間接方式。隨時了解您公開的軟體和主機作業系統軟體本身的更新檔和更新。
  • 如果您的應用程序架構可行,請考慮 DMZ 主機和內部主機之間的相互身份驗證。很高興知道到達內部主機的請求實際上來自 DMZ 主機。您能否做到這一點將高度依賴於您的應用程序架構。此外,請記住,即使正在進行身份驗證,“擁有”DMZ 主機的人也能夠向內部主機發出請求(因為他們實際上將成為 DMZ 主機)。
  • 如果擔心 DoS 攻擊,請考慮使用速率限制來防止 DMZ 主機耗盡內部主機的資源。
  • 您可能需要考慮使用第 7 層“防火牆”方法,其中來自 DMZ 主機的請求首先傳遞到一個專用的內部主機,該主機可以“清理”請求,對其進行完整性檢查,然後將它們傳遞給“真正的”後端主機。由於您正在談論與 IBM iSeries 上的後台應用程序的介面,我猜想您對 iSeries 本身上的傳入請求執行完整性檢查的能力有限。

如果您以一種有條不紊的方式處理此問題並對此保持一些常識,那麼您沒有理由不能做您所描述的事情,同時保持風險最小化。

坦率地說,您擁有一個無法不受限制地訪問受保護網路的 DMZ,這讓您在我見過的許多網路之外實現了跨越式發展。對於某些人來說,DMZ 似乎只是意味著“防火牆上的另一個介面,可能具有一些不同的 RFC 1918 地址,並且基本上可以不受限制地訪問 Internet受保護的網路”。盡量保持您的 DMZ 處於鎖定狀態,同時仍能實現業務目標,您會做得很好。

引用自:https://serverfault.com/questions/273697