如果这是一个愚蠢的问题,请提前道歉。我刚刚开始探索网络设计和防火墙。
我遇到过一种网络设计,其中 Internet、DMZ 和内部网络之间有单个防火墙。
根据我的理解,如果在网络设计中至少使用两个防火墙,DMZ 效果最好;一个作为外围防火墙,另一个作为内部防火墙。为什么有人会用 DMZ 设计只有一个防火墙的网络?这样设计网络是否有显着的好处(或风险)?
我也读过,使用DMZ是为了让入侵内部网络变得更加困难。那么位于 DMZ 区域中的服务器/服务并不重要?或者它们只是某种诱饵/蜜罐,或者它们只是应该是消耗性资产?我对此感到困惑,因为我看到 Web 服务器和 FTP 服务器坐在那里。这是否意味着它们不是重要的服务器?
谢谢
虽然不一定是您正在寻找的答案......(a)简单,和(b)成本。一个防火墙的成本是两个的一半。由于企业级硬件相当昂贵,当一个为两个时,它们通常设置在高可用性故障转移对中。
为内部 LAN 设置一个防火墙,为 DMZ 设置一个防火墙,确实在两者之间提供了更好的隔离。DMZ 可以在物理上与企业的其余部分完全隔离。很少需要这种级别的安全和隔离。(军队、银行等)使用一个带有 DMZ 接口(或 VLAN)的防火墙是一种合理的妥协。是的,您冒着将内部网络暴露给 DMZ 系统的配置失当的风险。
拥有 DMZ 的原因——所有这些隔离的目的——是为了将面向 Internet 的公共服务保持在一个地方,他们的妥协不会暴露你的整个企业。DMZ 是您放置“脏”系统的地方——人们将要攻击的东西。他们使用自己的一套极其严格的访问规则将它们保存在自己的网络中,在那里可以仔细监控它们。