我一直在努力了解 DMZ。很难找到不深入研究 Cisco 硬件复杂性的技术解释,因为我是网络新手,我发现这很令人困惑。有人可以解释为什么我读过的大多数关于制作 DMZ 的互联网帖子都建议使用第 2 层交换机来连接其中的设备吗?例如,我经营一家小型企业,我想在我的 DMZ 中放置一个 Web 服务器、一个 DNS 服务器和一个通用数据服务器,我构建的移动应用程序正在从中推送和提取数据,为什么不好使用第 3 层交换机?我在下面放置了一个基于文本的图表,让您了解 DMZ 的形状
----- WEB SERVER
INTERNET ----ROUTER----- FIREWALL-----SWITCH ----- DNS SERVER
----- DATA SERVER
第 3 层交换机主要是第 2 层交换机,但其中包含路由模块。没有配置多个网络的三层交换机只是一个二层交换机。路由器(包括第 3 层交换机中的路由模块)在网络之间路由流量。是否有任何理由需要 DMZ 不仅仅是一个网络?
您的服务器很可能都只是在同一个网络上。如果您在 DMZ 中有多个网络,那么您需要在 DMZ 中使用路由器或第 3 层交换机,但是您需要将 DMZ 中路由器后面的网络告诉第一个路由器,这可能是一个问题.
路由器通过三种方式了解路由:
DMZ 是一种安全结构。那就是放置本质上不值得信赖的机器的地方 - 例如。互联网可访问的网站,一个人,在某些时候,是要打破成。因此,创建 DMZ 网络是为了提供对所有内容的绝对最小访问权——其中的每台机器、互联网,最重要的是:网络的其余部分。如果您使用了第 3 层交换机,那么您的 DMZ 可能不是物理隔离的。如果交换机向 DMZ 公开管理接口,则攻击者可以访问交换机并逃离 DMZ。
最好的做法是尽可能隔离 DMZ。我一直将 DMZ 视为 VLAN,而这些实例只是一个错误和/或一个错别字,远离它们的安全性受到损害。
(为了记录,我的 DMZ 是我的“公共”交换机上的 VLAN。如果你真的妥协了——这将是一个没有机器的高手,你仍然在防火墙之外。)