我发现这个问题对 DMZ 以及何时将服务器合二为一非常有启发性。
我们正在重新组织我们的内部公司网络(保持相同的外部 IP 和域),我们主要的Windows 服务器(我们大量使用 WinAD)将保留在 LAN 上,并带有防火墙和端口转发以引导外部流量。
将服务器(例如:电子邮件)设置在与内部网络其余部分不同的 VLAN 上而不是在 DMZ 内有哪些安全(缺点)优势?
Sha*_*den 11
这有点像苹果和橘子的比较。DMZ 是一个单独的网段,用于具有更大危害风险的系统;vlan 是一种实现同一物理网络上不同逻辑网络之间逻辑分离的机制。
您可能想要进行的比较是这样的: 我应该使用单独的网络基础设施通过物理分离来实现我的 DMZ,还是在同一网络基础设施上通过逻辑分离?
物理分离的主要障碍是成本;您将为听起来像少数 DMZ 系统的专用网络设备投资。设置和维护该基础设施还需要额外的管理时间。
使用 vlan 分离,您将基本上构建与物理分离相同的逻辑基础架构;具有自己子网的专用 vlan,在子网之间进行路由的设备将应用访问控制等。
然而,令人担忧的是安全性;共享相同的物理基础设施会增加已破坏 DMZ 设备以尝试访问非 DMZ 网络的攻击者的潜在攻击面数量。
仅使用逻辑分离时,vlan 跳跃攻击以及针对 DMZ 可访问的网络设备(但为两个网络提供服务)的直接远程攻击都是潜在风险,并且单个设备中配置错误的风险更大,从而危及网络安全。网络之间的障碍。
| 归档时间: |
|
| 查看次数: |
17437 次 |
| 最近记录: |