【发布时间】:2020-08-26 11:04:46
【问题描述】:
谁能解释一下默认情况下(防火墙应用程序)是否所有用户都可以访问 DMZ?还是仅限内部用户?另外,用户是否会被添加到访问控制列表中?
【问题讨论】:
标签: networking dmz
【发布时间】:2020-08-26 11:04:46
【问题描述】:
DMZ 最常见的形式是一种“代理”网络,位于所有客户端都连接到的内部网 (LAN) 和 WAN 之间。想象一下,您有一个网络,其中包含一些 Web 服务器、笔记本电脑或工作站等 PC,以及具有数据库或类似内容的一些其他服务器或服务。在您的 LAN 前面,有一个防火墙创建了通往 WAN 的网关。
如果一切都在同一个网络中,您将遇到安全问题,因为如果一台机器受到威胁,基本上一切皆有可能。
只要您在同一个子网中通信,假设 C 类网络 192.168.0.0(IP 范围从 192.168.0.1 - 192.168.0.254),流量就不会路由到您的网关通常是您的防火墙。这意味着您从 192.168.0.2 到 192.168.0.3 执行的每个请求都不会受到防火墙的监视和/或限制。这是个问题。
例如,Web 服务器必须可以从外部访问。如果攻击者可以访问服务器,他可能会破坏您网络中的任何内容。
现在您介绍一个 DMZ,基本上是您的 LAN 和 WAN 之间的代理网络(至少在大多数情况下)。由于它是一个自己的子网,因此流量将通过您的网关(防火墙)路由,因此您的规则适用。此外,要进入 Intranet,数据必须通过两个防火墙(或两次相同的防火墙)。您现在可以创建防火墙规则,允许或禁止来自服务器或客户端的通信,反之亦然,在 DMZ 中与您的实际 LAN 进行通信。这样,您可以定义默认情况下拒绝与 LAN 的每次通信,然后您开始添加规则以允许通信,例如,如果某些服务必须连接到 LAN 中的数据库或类似的。
许多网络仅以这种方式过滤入站流量,但我认为,在防火墙规则批准之前,您还应该拒绝所有出站流量。
此外,根据具体情况,客户端通常位于 DMZ 中,因为只有关键基础设施位于您的实际 Intranet 中。在这种情况下,通常只有管理用户才能“完全”访问 Intranet 本身。一般来说,将客户端放在一个单独的、受限制的网络中是个好主意,因为您经常会遇到客户端是您的网络最大漏洞的地方(比如喜欢打开 word 文档的用户显然是某种欺诈和类似)
【讨论】:
-
(考虑使用拼写检查器:connnected、fireall、seperate、ofter)