我发现这个问题非常关注DMZ和什么时候把服务器放在一个。
我们正在重新组织内部公司networking(保持相同的外部IP和域),我们主要的 Windows服务器(我们大量使用WinAD)将保留在局域网上,并带有防火墙和端口转发function来引导外部stream量。
将服务器(例如:电子邮件)设置在与其他内部networking不同的VLAN上而不是在DMZ内部的安全(dis)优势是什么?
这是一个苹果和橙子比较。 非军事区是一个独立的networking部分,对于有更大风险的系统来说, vlan是实现同一物理networking上不同逻辑networking之间逻辑分离的一种机制。
你可能想做的比较是这样的: 我应该通过使用单独的networking基础设施进行物理分离还是通过在同一个networking基础设施上进行逻辑分离来实现我的DMZ?
物理分离的主要障碍是成本; 您将投资专用networking设备,听起来像less数DMZ系统。 还有额外的pipe理时间涉及build立和维护基础设施。
通过vlan分离,您将基本上构build与物理分离相同的逻辑基础架构; 一个拥有自己的子网的专用vlan,在子网之间进行路由的设备将应用访问控制等。
然而,担心的是安全问题。 共享相同的物理基础设施会增加攻击者攻击DMZ设备以尝试访问非DMZnetworking的潜在攻击面的数量。
当仅使用逻辑分隔时,vlan跳频攻击以及直接针对DMZ可访问的networking设备(但服务于两个networking)的远程攻击是潜在的风险,以及在单个设备中configuration错误的风险更大networking之间的障碍。