Rob*_*b G 9 security hosting dmz
从安全的角度来看,如果您计划从那里运行一个低流量(不受欢迎)的网站,那么在家里全力以赴设置 DMZ 有什么好处?
家中有许多计算机位于同一个 Windows 网络上,但所有 HTTP 和 SSL 流量都重定向到该网络上的特定计算机。是否需要将这台机器设置在某种 DMZ 中以增加安全性?
小智 7
如果您已经只是转发您想要提供的特定服务(HTTP 和 SSL),那么 DMZ 的唯一用途是限制该机器受到损害时的损害(例如,通过编写不当的 cgi )。决定是否这样做应该基于会造成多大的损害——如果网络上没有其他机器,那没什么大不了的,但如果有一个不安全的内部 NAS,上面有你所有的个人财务记录,你可能想要一个额外的内部安全层,是的。
小智 7
是的。任何来自 Internet 的传入流量不是对来自您的一台计算机的请求的响应都应该是可疑的。在许多情况下,您的网站可能会受到威胁,这可能会导致有人可以访问内部网络。
现在,不幸的现实是大多数商用家用路由器没有能力设置适当的 DMZ。它们可能允许您设置所有外部流量都路由到的 DMZ IP。这不允许 DMZ 应提供的分离。要拥有功能强大的 DMZ,DMZ 中的计算机需要位于与主网络不同的 IP 范围或子网中,并且位于仅支持 DMZ IP 范围的路由器上的不同端口上。正确配置 DMZ 的最终结果是 DMZ 中的系统无法直接访问主网络上的 IP。
还要确保您的路由器不会出于管理目的将 DMZ 视为内部。因此,它不应该信任来自 DMZ 的流量,就像它信任来自 Internet 的流量一样,并且您不应该能够从 DMZ 上的任何系统访问路由器的管理界面。这通常是其他人提出的“双路由器”解决方案的问题。外部路由器仍将 DMZ 中的系统视为内部和受信任的系统。这个外部路由器可能会受到损害,所有内部流量仍然需要通过它才能到达互联网。