Mik*_*lls 15 security firewall dmz
我们目前在 DMZ 中有我们的 Web 服务器。Web 服务器看不到内部网络中的任何内容,但内部网络可以看到 Web 服务器。在 DMZ 和内部网络之间的防火墙上打一个洞到 Intranet 中只有一个 Web 服务器有多安全?我们正在研究一些将与我们的几个后台应用程序(它们都在一台服务器上)交互的东西,如果我们可以直接与保存这些数据的 IBM i 服务器进行通信,那么执行这个项目会容易得多(通过网络服务)。
根据我的理解(而且我不知道品牌),我们为 DMZ 设置了一个防火墙,其外部 IP 与我们使用另一个防火墙的主 IP 不同。另一个防火墙位于 Web 服务器和 Intranet 之间。
所以像:
Web Server <==== Firewall ===== Intranet
| |
| |
Firewall Firewall
| |
| |
Internet IP1 Internet IP2
Eva*_*son 26
当需要实现预期结果时,为 DMZ 中的主机创建访问机制以访问受保护网络中的主机并没有错。也许这样做并不可取,但有时这是完成工作的唯一方法。
需要考虑的关键事项是:
限制对最具体的防火墙规则的访问。如果可能,命名规则中涉及的特定主机以及将使用的特定协议(TCP 和/或 UDP 端口)。基本上,只打开您需要的小孔。
确保您正在记录从 DMZ 主机到受保护网络上的主机的访问,并在可能的情况下以自动方式分析这些日志中的异常情况。你想知道什么时候会发生一些不寻常的事情。
认识到您正在将内部主机暴露给 Internet,即使是以间接方式。随时掌握您公开的软件和主机操作系统软件本身的补丁和更新。
如果您的应用程序架构可行,请考虑 DMZ 主机和内部主机之间的相互身份验证。很高兴知道进入内部主机的请求实际上来自 DMZ 主机。您是否可以做到这一点将高度依赖于您的应用程序架构。另外,请记住,“拥有” DMZ 主机的人将能够向内部主机发出请求,即使正在进行身份验证(因为他们实际上将成为 DMZ 主机)。
如果担心 DoS 攻击,请考虑使用速率限制来防止 DMZ 主机耗尽内部主机的资源。
您可能需要考虑使用第 7 层“防火墙”方法,其中来自 DMZ 主机的请求首先传递到特殊用途的内部主机,该主机可以“清理”请求,对其进行完整性检查,然后将它们传递给“真正的”后端主机。由于您谈论的是与 IBM iSeries 上的后台应用程序的接口,因此我猜测您对 iSeries 本身上的传入请求执行健全性检查的能力有限。
如果您以有条不紊的方式处理此问题并对此保持一些常识,那么您就没有理由不能在将风险降至最低的同时做您所描述的事情。
坦率地说,您拥有一个无法不受限制地访问受保护网络的 DMZ,这让您在我见过的许多网络之外实现了跨越式发展。对于某些人来说,DMZ 似乎只是意味着“防火墙上的另一个接口,可能具有一些不同的 RFC 1918 地址,并且基本上可以不受限制地访问 Internet和受保护的网络”。尽量保持 DMZ 处于锁定状态,同时仍能实现业务目标,您会做得很好。
显然有一些危险,但你可以做到。基本上你是在打开一个有人可以通过的针孔,所以让它变小。将其限制为仅两端的服务器,并且仅允许所选端口上的数据。使用端口地址转换来仅使用奇怪的端口并不是一个坏主意。尽管如此,默默无闻的安全根本就不是安全。确保无论另一端的服务器是什么,都有某种方法来检查通过该连接的信息是否真的是它看起来的样子……或者至少有某种上下文感知防火墙到位。此外,有一些防火墙是为这种事情而设计的……我知道微软 ISA 对 OWA 和 Exchange 服务器做了同样的事情。
| 归档时间: |
|
| 查看次数: |
1232 次 |
| 最近记录: |