我不是一个应用程序开发人员 – 我从这个警告开始。
简单来说; 我们的开发团队要求我完全绕过我们的DMZ,打开一系列从WAN到LAN的端口。 他们说这很好,因为他们的api首先从DMZ中的两个Web服务器获得连接(使用diffie helman,但这是另一回事),但有点不确定从WAN到LAN的开放端口是否可以安全 – 任何人都可以启发我从安全的angular度来看这种可行性?
最终用户不应该总是与DMZ进行通信,然后这个服务器中的服务器会与所有内部服务器进行通信吗?
有一个非军事区的想法是保护局域网免受互联网直接访问。 这意味着需要用户从Internet访问的服务/服务器(如Web服务器,电子邮件服务器等)被放置在单独的networking上,并允许从外部进行控制访问。 拥有一个独立的Netowrk段(DMZ),可以为不同的段应用不同的防火墙策略,并可以从一个段到另一个段进行访问控制。 这也使得对易受攻击的部分进行广泛的监控成为可能,并且在安全漏洞的情况下,内部LAN段可以保持安全。
因此,如果你的组织已经有一个非军事区的networking和一个政策,那么这个新的提案只是违背了安全networking分割这个想法,需要彻底地加以解决。 可能是保持现有networking架构的替代解决scheme。