我最近参加了一些网络讲座,对 DMZ 有一些疑问。
给我的例子是:我有一个办公室,其中有一个专用网络。在那个专用网络中,有一个数据库,用于存储办公室的所有数据,以及银行交易详情和员工详情。
办公室总部需要访问商店的数据。讲师介绍了 DMZ,但没有详细介绍。
一季度。DMZ 是否会简单地在其中放置一个 Web 服务器,然后由专用网络的数据库定期更新?(当然,只用商店的数字更新网络服务器)。或者网络服务器是查询内部数据库的服务器?在这里原谅我的无知。
Q2。假设网络中安装了两台防火墙,防火墙 1 只允许来自 Internet 的发往 DMZ 的流量,而防火墙 2 只允许从 DMZ 到内部网络的流量。专用网络如何访问 Internet?防火墙 1 和防火墙 2 是否也设置为允许发往专用网络的 HTTP 和 HTTPS 流量?
请注意,计算机网络是我最薄弱的科目,所以如果我错过了任何基本知识,我提前道歉。我只是想加强我对 DMZ 的理解。
提前致谢。
Q1:无论哪种方式都可以,并且可能取决于应用程序。有人可能会争辩说,将数据推送到 Web 服务器可能更安全。
Q2:防火墙还允许从内部(受信任)到外部(不受信任)的连接。这是大多数防火墙的默认策略。请注意,方向(谁发起连接)在这里很重要:通常允许从内到外,只有特定主机和协议才允许从外到内。
DMZ 的范式(据我所知)是“将 DMZ 中的所有主机视为被黑客入侵”。防火墙的网络保护应确保即使在这种(“最坏”)情况下,内部网络上的数据也不会受到外部访问。
如果您必须将某些数据公开到 Internet,请将其发布到 DMZ 中的服务器上。在 DMZ 中,来自外部的恶意攻击直接攻击主机,而针对内部资源的攻击则攻击防火墙 - 与多用途服务器(或操作系统)相比,防火墙的设计和配备可以阻止各种攻击。
遵循这一思路,您将实施一个规则,即来自内部的数据将始终被推入 DMZ,而永远不会主动从 DMZ 中拉出。如果 DMZ 服务器遭到破坏,它就无法提取数据或使用您一开始就无意或明确拒绝的服务。
但这有后果。例如,服务器可能会查询必须驻留在 Internet 上的外部时间源。或者,如果服务器需要通过 DNS 解析内部名称,则可以在 DMZ 中安装第二个 DNS,其中包含数据的子集。
关于您的问题:
Q2
防火墙通常有多个端口,并使用“规则”或“策略”控制这些端口之间的流量。DMZ 将始终连接到它自己的端口,内部 LAN 和 WAN 也是如此。因此,您有一切办法允许某些服务,往/返某些来源或目的地,在某些时间等。未明确提及的一切都将被拒绝。今天的防火墙将尝试通过诸如 IPS 或应用程序控制等各种方式来保护其背后的服务器和主机,即内容检查。它们不仅仅是允许或拒绝流量并对其进行路由,然后被称为 UTM 防火墙或 NGFW(下一代 FW)。
Q1
上面的那个只允许将数据推送到 DMZ 网络服务器上,而不允许从它访问内部资源。
在您的情况下,尽管我什至不会考虑将敏感数据公之于众。如果总部有分支机构需要的数据,它应该通过 IPsec VPN 访问分支机构服务器。数据将私下传输给经过身份验证的合作伙伴,并将对其完整性进行监控。