我有两台Linux服务器:
有人提到我应该考虑一个非军事区。 目标是保护外部用户的数据库。 但是,我们可以信任内部用户。 内部用户仍然需要访问数据库服务器的所有方面。
有人能帮我理解一个简单的DMZ(小型企业)在这种情况下会是什么样子? 它是以硬件还是软件或两者来实现?
不知道DMZ的任何内容,我想了解我需要指示我的主机提供商做什么来实现DMZ(假设有很多信息需要决定,而不仅仅是告诉他们:“给我一个DMZ “)。 我需要告诉他们什么,或在接近他们之前需要做什么决定?
在上述情况下,有人可能不想要或不需要实施非军事区? 或者,人们普遍认为这是一个好主意吗?
非军事区的目的是要build立一个安全边界,通过这个安全边界只允许已知的,期望的交通stream量。 这可以通过硬件防火墙设备(Cisco ASA等)或软件防火墙(Linux iptables,OpenBSD pfsense等)完成。 关键是要有一个仲裁stream量的机制,并决定stream量是否合适。
在物理上,DMZ与您的Internet连接的互连可能如下所示:
{ the internet }----[ Firewall Device ]-----{ LAN } | | { DMZ } 通常,防火墙设备上的一个物理networking接口卡专用于连接到这些网段(Internet,DMZ和LAN)。 可以使用VLAN来使用更less的物理网卡,但是在相同的物理介质中,您开始混淆了不同的安全问题(除非您通过这种方式获得某些特定的优势,否则通常会避免这种情况)。
假设应用程序的用户将访问“第二个服务器”(我将称之为“Web服务器”)的TCP端口80上的Apache Web服务器来使用该应用程序,我将看到Web服务器计算机坐在DMZ段由防火墙设备控制访问,创buildDMZ以:
(假设您使用状态防火墙设备来仲裁访问DMZ,您不需要特别创build规则来响应上述请求。)
这是一个非常简单的观点,但它传达了这个想法。 您可能需要让Web服务器发出DNS请求,并且您可能希望允许其访问用于下载操作系统更新的HTTP或HTTPS服务器。 我强烈build议不要允许Web服务器对Internet进行任意出站访问(因为许多漏洞利用依赖于被利用的计算机能够下载“第二阶段”有效载荷)。 如果您不需要互联网上的任何人来pipe理Web服务器,则不允许来自Internet的入站SSH。 (如果您确实需要从异地进行pipe理,才能连接到LAN段中的VPN并从LAN访问Web服务器)。
非军事区或非军事区是一个与其他networking分开的网段。 许多组织使用DMZ将其局域网(LAN)与Internet分开。 这增加了公司networking和公共互联网之间的附加安全性。
放置在DMZ中的公共项目是面向公众的服务器。 例如,如果一个组织在服务器上维护他们的网站,那么这个networking服务器可以被放置在DMZ中。 通过这种方式,如果机器受到损害,公司networking的其余部分就不会处于危险之中。
将局域网连接到Internet时,路由器将提供与公共Internet的物理连接,防火墙将提供网关以防止恶意数据进入networking。 防火墙上的一个端口通常使用该networking上的内部地址连接到企业networking,从而允许公司内部的个人发送到互联网。 另一个端口通常会configuration一个公共地址,这将允许Internetstream量到达组织。 这两个端口可以允许入站和出站数据到达Internet上的组织。