networking - 无法理解 DMZ
问题描述
谁能解释一下默认情况下(防火墙应用程序)是否所有用户都可以访问 DMZ?还是仅限内部用户?另外,是否将用户添加到访问控制列表中?
解决方案
DMZ 最常见的形式是您的所有客户端都连接到的 Intranet (LAN) 和 WAN 之间的一种“代理”网络。想象一下,您有一个网络,其中包含一些 Web 服务器、笔记本电脑或工作站等 PC,以及具有数据库或类似内容的一些其他服务器或服务。在您的 LAN 前面,有一个防火墙创建了通往 WAN 的网关。
如果一切都在同一个网络内,您将遇到安全问题,因为如果一台机器受到威胁,基本上一切皆有可能。
只要您在同一子网中进行通信,假设 C 类网络 192.168.0.0(IP 范围从 192.168.0.1 - 192.168.0.254),流量就不会路由到您的网关,这通常是您的网关防火墙。这意味着您从 192.168.0.2 到 192.168.0.3 执行的每个请求都不会受到防火墙的监视和/或限制。这是一个问题。
例如,Web 服务器必须可以从外部访问。如果攻击者可以访问服务器,他可能会弄乱您网络中的任何内容。
现在您介绍一个 DMZ,基本上是您的 LAN 和 WAN 之间的代理网络(至少在大多数情况下)。由于它是一个自己的子网,因此流量将通过您的网关(防火墙)路由,因此您的规则适用。此外,要进入 Intranet,数据必须通过两个防火墙(或两次相同的防火墙)。您现在可以创建防火墙规则,允许或禁止来自服务器或客户端的通信,反之亦然,在 DMZ 中与您的实际 LAN 进行通信。通过这种方式,您可以定义默认情况下拒绝与 LAN 的每次通信,然后开始添加规则以允许通信,例如,如果某些服务必须连接到 LAN 中的数据库或类似的数据库。
许多网络仅以这种方式过滤入站流量,但在我看来,您还应该拒绝所有出站流量,直到得到防火墙规则的批准。
此外,根据具体情况,客户端通常位于 DMZ 中,因为只有关键基础设施位于您的实际 Intranet 中。在这种情况下,通常只有管理用户才能“完全”访问 Intranet 本身。一般来说,将客户端放在一个单独的、受限制的网络中是个好主意,因为您经常会遇到客户端是您网络的最大漏洞的地方(比如喜欢打开 word 文档的用户显然是某种欺诈和相似的)
推荐阅读
- dart - Flutter Global 失去价值
- android - 发送套接字时出错 [WinError 10061] 无法建立连接,因为目标机器主动拒绝了从 Python 到 Android 的 Socket
- python - 在 3D numpy 矩阵中为给定值绘制表面轮廓
- regex - 使用正则表达式测试字符是否存在
- rust - 如何检查两个引用变量是否借用了同一个对象?
- c# - 如何将模板导入我的 ASP.NET 项目(Visual Studio 2013)
- javascript - 如何在 React 中实现 Cloudinary 上传小部件?
- c# - triggerzone 每帧读取同一个对象
- conv-neural-network - 训练期间如何处理损失和验证的 NaN 和 0
- ansible - 当条件与 Ansible