開啟防火牆ssh訪問內部到DMZ的安全風險

我在我們的內部網路中有一台伺服器，該伺服器上有一些文件/報告，我需要將它們發送到我們的 DMZ 中的一個盒子。它們不是直接從 DMZ 的盒子里送來的。它們由伺服器處理並通過門戶應用程序顯示給使用者。所以我打算使用 ssh 和密鑰對來做到這一點。

我們與其他盒子有這個設置，但我想看看是否存在任何（我想總是有一些）安全風險，允許從內部盒子連接到使用 ssh 連接到 DMZ 盒子。如果 ssh 在 DMZ 盒子上正確設置，我想不出任何簡單的方法，DMZ 中的某個人將能夠利用此規則（防火牆只允許從 INTERNAL 到 DMZ 的連接，而不是相反），但我不要將安全作為職業，並且想知道我是否可能缺少任何東西。想法和評論表示讚賞。謝謝…

只要規則允許從 INTERNAL 連接到 DMZ 而不是相反，這對我來說似乎是完全明智的。

畢竟，您必須能夠在 DMZ 上管理您的機器，並且登錄憑據也在加密的網路上移動，所以這不是問題。

引用自：https://serverfault.com/questions/327446