Joe*_*ips 6 networking firewall dmz
什么时候应该将服务器放置在 DMZ 中,而不是在防火墙上打开端口并将其保留在网络中?我指的是活动目录服务器、IIS 服务器,以及大多数基于 Windows 的设置。
我注意到放置在 DMZ 中的一些问题是它不再位于域中,它没有名称服务器访问我们的内部服务器,以及其他一些使工作变得奇怪的事情。
放置在DMZ服务器不能打开连接到您的网络,因为在中间的防火墙(DMZ通过把它界定),那么你的网络将得到保护它,它应该永远被攻击者入侵:在在这种情况下,受感染的服务器不能用作对网络其余部分发起新攻击的起点。如果服务器位于您的网络内部,并且您打开防火墙端口以允许外部用户使用它提供的服务访问它,则情况并非如此。如果您的服务器位于戒备森严的 DMZ 或 LAN 中,那么同样成功的外部攻击(针对网站)将导致截然不同的后果。
也就是说,将服务器放在 DMZ 中真的只有在您可以真正过滤它与内部网络之间的流量时才有用;如果它需要域控制器访问进行身份验证、后端数据的数据库访问和发送消息的邮件访问(如 Exchange CAS),并且您需要打开它和内部服务器之间的所有这些端口,以便它实际做任何有用的事情,那么将它放在 DMZ 中真的没有多大意义。域成员服务器在这里是最严重的违规者:域访问需要计算机与其域控制器之间的许多开放端口,以至于它也可以与它们放在同一网络中;一个被入侵的域成员计算机是一个很大的 安全痛苦,因为它可以访问域中的很多东西。
Windows 服务器的经验法则:如果它需要成为域成员,那么将它放在 DMZ 中是 A)让它正常工作很痛苦,B)几乎没用;将它们保留在您的 LAN 中,但一定要对它们进行完全修补,运行良好的防病毒软件并受到严密锁定的外部防火墙的保护。这里最好的方法是使用反向代理、入站邮件中继或任何其他可以充当应用程序网关的东西,并避免将它们直接暴露给 Internet。
如果当您打开内部网络的端口时服务器受到损害,攻击者可能会获得访问权限或更简单的方法来对内部系统执行攻击。在当今世界,您计划在 DMZ 中部署的大多数系统都可以进行调整和配置,以执行某种类型的内部/DMZ 网络区分。事实上,流量流动的唯一方式是从内部网络流向 DMZ,本质上,内部服务器打开与 DMZ 中服务器的连接。