目前我为我们公司建立了一个新网络,这不是我的专长,因为我实际上是一名软件工程师,所以当这是一个愚蠢的问题时,请原谅我。
过去几周我读了很多关于网络的文章,由于我们有多个网络服务器,我认为我们需要一个 DMZ。我的理解是所有向“公众”(即互联网)提供服务的服务器都应该放在 DMZ 内。在我阅读完所有内容之后,我仍然对此有一些疑问,因为将它们放在网络的“分离”部分对我来说没有意义。
- 为什么我应该将向“公众”提供服务的服务器放置在网络的“孤立”部分?我知道这是为了保护入侵者的“内部网络”,但由于我只将所需的端口转发到需要提供“公共服务”的服务器,入侵者根本无法访问其他服务器?
我还专门阅读了关于网络服务器的两件事;
- 它们应该放置在 DMZ 内,并且需要访问/规则/路由到应该放置在内部网络中的数据库服务器,因为它们只向 Web 服务器提供服务
- 他们应该像数据库服务器一样放置在内部网络中。在这种情况下,DMZ 中应该有一个代理服务器,它将流量“路由”到正确的 Web 服务器(在内部网络中)。
在这两种情况下,我再次不理解 DMZ 作为代理服务器的意义,或者网络服务器仍然需要访问内部网络才能访问网络服务器或数据库服务器。我假设如果您能够访问 Web 服务器,您也可以“跳”进一步进入网络到可以连接的设备?就“在哪里放置我的网络服务器以及我是否需要代理”而言,这里的最佳做法是什么?
只是为了您的想法,我们使用 1 个配置了 DMZ 的单一防火墙 (PfSense)。