使用单个防火墙将受信任区域与 DMZ 分离的最佳做法是什么?

信息安全 网络 防火墙
2021-09-10 13:50:22

在我们的组织中,我们在内部区域和公共互联网之间有一个防火墙。目前,我们所有的受信任区域都定义为插入防火墙上的一个物理接口的第 3 层交换机上的不同 vlan。DMZ 区域在防火墙本身上定义,并从防火墙上的单独物理接口中继到第 2 层交换机。

这是将我们的受信任区域与我们的 DMZ 分开的一种相当安全的方法,还是会带来很多问题?

在防火墙上定义 DMZ vlan 并中继到第 2 层交换机是否会带来风险,或者我是否应该考虑为 DMZ 获得另一个第 3 层交换机?

我曾考虑尝试为第二个防火墙筹集资金,将其放置在我们的主防火墙和我们的受信任区域之间,但我不知道这是否是进行更改以产生最佳数量改进的最佳地点。

在此处输入图像描述

2个回答

据我了解,这与其说是一个安全问题,不如说是一个网络工程问题,尽管安全工程在任何网络设计中都占有一席之地。

首先你需要画出你在做什么。你在我写这篇文章的时候做了什么,哈哈。我还附上了我第一次阅读您的问题时拼凑的 Visio。

在此处输入图像描述

接下来我要问一件事。您说 DMZ 是“中继到第 2 层交换机”。这是否意味着您实际上是在将 VLAN 中继到第 2 层交换机?如果是这样,您可能希望在防火墙接口处删除您的 VLAN。特别是如果您不想完成三明治 DMZ 配置。那个 DMZ 开关似乎应该没有标记。

我认为您的 DMZ 不需要额外的开关,除非您有尺寸和配置方面的问题。如果它是一个小型网络,正如我所设想的,您应该使用小型 DMZ on-a-stick 配置进行设置。

许多小型企业一体机类型的设备具有非常相似的设置。我已经看到许多Checkpoint 边缘设备在相同的配置中使用。

诚然,在安全性方面,您可以提供的安全性/隔离越多越好,但这种设置非常适合小型企业或家庭设置。

另外,我刚刚看到这篇文章,这里对相同的配置进行了非常简短的解释。

该设置对我来说似乎很公平,我没有看到任何无法在防火墙处轻松识别和过滤的流。

当谈到在防火墙和二级防火墙上定义的 VLAN 时,真正的问题是您要防御什么样的攻击场景。DMZ 意味着您正在考虑受感染的服务器。在给定的设置中,防火墙将(可能)防止这种情况。根据 VLAN 之间应允许的流量,在第 3 层交换机上/上可能有第二个防火墙的原因。

FW 和 DMZ 交换机之间的中继是为了提高网络吞吐量,对吧?因为我看不出在 FW 的 DMZ 端有 VLAN 的安全原因。