我有一个安全的子网 172.20.40.0/24,但我的终端无法保证安全,而且我无法控制协议(考场、外部用户访问)。我想将它们设置在一个单独的子网上,以最大限度地减少攻击媒介,但是它们需要访问安全子网上的一两个 IP。我在两者之间设置了一个虚拟 pfsense 防火墙,起初是在使用 LAN 和 WAN 与 natting 或 VPN 玩,但有点超出我的深度。执行此操作的正确方法是什么,我可以将其保护到最少的网络访问。
编辑
这是应用程序访问的端口列表,包括两台服务器 ASDB (172.20.40.9) 和 ASDCFS (172.20.40.11)。如果高风险终端是 172.20.40.100,那么我限制的最优雅的方式是什么,所以它只能访问那些 IP 和端口。
您应该将应用程序服务器从安全网络镜像到 DMZ。只有在那里,您的不安全客户端才能访问,并且不可能破坏 DMZ 服务器并进一步访问安全区域。
重要的是连接安全性:永远不要从不安全的网络连接到安全的网络。
我会在边缘安装一个反向代理,使安全子网和应用程序服务器无法访问。
ngnix 和 varnish 是反向代理的不错选择。您甚至可以创建一些只允许少数 HTTP 方法和端点目标的规则。
您还可以添加防火墙限制外部流量目标,以仅从反向代理保护子网。