我应该双主我们的网络服务器(DMZ/内部网络)还是只做一对一的 NAT?
dav*_*s21 5 networking security firewall dmz
我正在设置一个服务器机架,其中将有 2 个网络服务器和 10 个提供后端应用程序支持的内部服务器(从 AWS 环境迁移)。我们将在机器上运行虚拟机实例。
在我使用过的大多数企业网络配置中,他们使用双主网络服务器,因此一个 NIC 位于 DMZ 网络上,另一个位于内部(非互联网可路由)网络上。
对于较小的 12 台服务器配置,安全优势是否真的足以保证 DMZ 中的两个网络和双宿主主机?该应用程序是一个任务关键型 Web 应用程序。
需要考虑的最后一个好处是,如果内部网络的带宽饱和,DMZ 网络可能不会受到影响(1Gbit 接口,我们可以将 2Gbit 接入支持 1.5Gbit 状态吞吐量的防火墙),单独的网络可以降低风险。
所以最终这就是我们正在谈论的我认为:
小智 6
对于较小的 12 台服务器配置,安全优势是否真的足以保证 DMZ 中的两个网络和双宿主主机?该应用程序是一个任务关键型 Web 应用程序。
绝对的。面向公众的服务应隔离在 DMZ 中。时期。大坏 Internet 可以访问的任何内容都应该与您的内部网络及其服务分开。这极大地限制了安全漏洞将造成的范围和损害。这是最小特权原则和功能分离的良好应用。
在我使用过的大多数企业网络配置中,他们使用双主网络服务器,因此一个 NIC 位于 DMZ 网络上,另一个位于内部(非互联网可路由)网络上。
我会更进一步。根据您的描述,您的服务器有可能充当 Internet 和网络其他部分之间的桥梁,从而在出现安全漏洞时完全绕过 DMZ。您的服务器应保留在 DMZ 上,并且只能通过防火墙或 VPN 等控制点进行访问。他们不应该直接连接到您内部网络上的任何内容。这将使 DMZ 的全部意义失效。
这是显示逻辑设计的图表。逻辑设计的实现完全取决于您。我想说明的要点是,您希望内部服务器和 DMZ 服务器之间的任何访问都通过某种阻塞点,您可以在其中控制、监视和记录这些连接。这是一个希望能澄清我在说什么的例子:
假设您的提供商为您提供了 203.0.113.0/28 的地址空间。您决定将其分成两个独立的子网:203.0.113.0/29 用于 DMZ 机器,203.0.113.8/29 用于内部机器。您的防火墙位于整个设置和 Internet 之间,具有三个接口:一个用于提供商的上游连接,一个用于 203.0.113.0/29,另一个用于 203.0.113.8/29。因此,任何这些网络之间的任何通信都将通过防火墙,您可以在其中执行以下重要操作:A) 有选择地仅在主机之间传递您需要的流量,B) 监控和记录该流量。真正的目标是这些网络之间不应该有直接通信。这是你应该为之奋斗的理想。
| 归档时间: |
|
| 查看次数: |
5192 次 |
| 最近记录: |