我正在设置一个服务器机架,其中包含 2 个网络服务器和 10 个提供后端应用程序支持(从 AWS 环境迁移)的内部服务器。我们将在盒子上运行虚拟机实例。
在我使用过的大多数企业网络配置中,他们将网络服务器双归属,因此一个 NIC 位于 DMZ 网络上,另一个位于内部(非 Internet 可路由)网络上。
安全优势真的足以保证 DMZ 中的两个网络和双宿主主机用于较小的 12 服务器配置吗?该应用程序是一个任务关键型 Web 应用程序。
最后一个要考虑的好处是,单独的网络可以降低风险,如果内部网络的带宽饱和,DMZ 网络可以不受影响(1Gbit 接口,我们可以将 2Gbit 接入支持 1.5Gbit 全状态吞吐量的防火墙)。
所以最终这就是我们正在谈论的,我认为:
绝对。面向公众的服务应隔离在 DMZ 中。时期。大坏互联网可以到达的任何地方都应该与您的内部网络及其服务分开。这极大地限制了安全漏洞将造成的范围和损害。这是最小特权原则和功能分离的良好应用。
我会更进一步。按照您描述的方式,您的服务器将有可能充当 Internet 与网络其余部分之间的桥梁,从而在出现安全漏洞时完全绕过 DMZ。您的服务器应保留在 DMZ 中,并且只能通过防火墙或 VPN 等控制点访问。他们不应该直接连接到您内部网络上的任何东西。这将使整个 DMZ 点无效。
这是显示逻辑设计的图表。逻辑设计的实现完全取决于您。我要说明的要点是,您希望内部服务器和 DMZ 服务器之间的任何访问都通过某种阻塞点,您可以在其中控制、监视和记录这些连接。这是一个示例,有望阐明我在说什么:
假设您的提供商为您提供了 203.0.113.0/28 地址空间。您决定将其分成两个独立的子网:DMZ 机器的 203.0.113.0/29 和内部机器的 203.0.113.8/29。您的防火墙位于整个设置和互联网之间,具有三个接口:一个用于您提供商的上游连接,一个用于 203.0.113.0/29 和一个用于 203.0.113.8/29。因此,这些网络中的任何一个之间的任何通信都将通过防火墙,您可以在防火墙中执行以下重要操作:A) 有选择地仅在主机之间传递您需要的流量,B) 监视和记录该流量。真正的目标是这些网络之间不应该有任何直接通信。这是你应该为之奋斗的理想。