我不是应用程序开发人员——我将从这个警告开始。
简单来说; 我们的开发团队要求我打开一系列从 WAN 到 LAN 的端口,完全绕过我们的 DMZ。他们说这很好,因为他们的 api 首先从 DMZ 中的两个网络服务器保护连接(使用 diffie helman,但这是另一个故事),但有点不确定从 WAN 到 LAN 的开放端口是否安全 - 任何人都可以启发我从安全的角度来看,这是否可行?
最终用户不应该总是与 DMZ 通信,然后其中的服务器与任何内部服务器进行所有通信吗?
AskOverflow.Dev
拥有 DMZ 区域的想法是保护 LAN 免受来自 Internet 的直接访问。这意味着需要用户从 Internet 访问才能运行的服务/服务器(如 Web 服务器、电子邮件服务器等)放在单独的网络上,并允许从外部进行受控访问。拥有一个单独的网络段 (DMZ) 可以为不同的段应用不同的防火墙策略以及从一个段到另一个段的访问控制。这也使得对易受攻击的网段进行广泛的监控成为可能,并且在出现安全漏洞的情况下,内部 LAN 网段可以保持安全。
因此,如果您的组织已经有一个 DMZ 网络和一个适当的策略,那么新提案就违反了为安全而进行网络分段的想法,需要彻底审查。可能是保留现有网络架构的替代解决方案。