我正在尝试使用IPCopconfigurationDMZ,但看起来IPCop的DMZ默认configuration没有DHCP,也没有访问Internet的权限。
即使当我手动configurationIPCop作为我的默认网关和DNSparsing器时,似乎没有从DMZconfiguration到Internet的NAT(只有另一种方式)。
我想知道在DMZ内上网的优点和缺点。
优点
缺点
除了“如果有人妥协我的机器,它可以用来危害互联网上的其他人”这个单一的论点,我没有理由不让我的DMZ机器访问互联网。
这是一个坏主意吗?
从DMZ的任何一台机器上完全不受监pipe地访问互联网是没有任何意义的,也不应该这样做。 您应该能够configuration出站访问权限,但是您应该仅针对所需的操作,例如更新所需的端口和目标地址。 DHCP通常不在DMZ中使用,这就是为什么它不可用。
通过从CDROM下载仅仅需要的软件包而不是安装程序来安装Ubuntu系统会容易得多
通常的做法是在内部networking上设置机器,并在完全configuration并准备使用时将其移动到DMZ。
我不是一个IPCop用户,但是一般的安全理论是提供有限的DMZ出站访问权限到DMZ系统需要的特定站点和服务。
在我的情况下 – 我的DMZ托pipe一对Linux服务器和几个Windows服务器 – 我提供出站的HTTP / S访问到一个核准站点的简短列表。
其中包括Windows更新站点,CentOS服务器镜像和基于Windows的AV产品更新服务器。 我想这些网站是足够安全的离开在一直在configuration。
这可能是一个坏主意,但完全取决于你和你的公司的可接受风险是什么(你的第一个观点是否是可接受的风险?)。
这也取决于你有什么其他的安全措施。 我通常倾向于将DMZlocking(以及我的大部分networking),只在需要的时间和地点给予访问。 其他人不赞同相同的政策。 例如,在我最后一个位置的DMZ中,我在防火墙上设置了规则,允许出站访问Windows更新,并且只会在更新服务器时启用规则。 之后,他们会被closures。