組織のネットワークには、内部、外部、DMZ1、DMZ2 の 4 つのゾーンがあります。DMZ1 には、DNS、WEB、メール サーバーなどの外部向けサーバーがあります。DMZ2 には、Radius、DHCP、データベース、ファイル、アプリケーション サーバーなどの内部サーバーがあります。すべてのゾーンは、エンタープライズ エッジ ルーターに接続されています。問題は、ゾーン間でどのようなトラフィックを許可すべきかがわからないことです。私の見解は次のとおりです。
内部 - DMZ1: トラフィックを検査し、ポート 25、43、80、53 で Web、DNS、メール トラフィックを取得できるようにする必要があります。その他のトラフィックはすべてブロックされます。
内部 - DMZ2: 内部では、RADIUS、DHCP、データベース、ファイル、およびアプリケーション サーバーからパケットを取得する必要があります。
外部 - 内部: トラフィックはブロックされ、VPN のみが許可されます。(会社には 2 つの別々の場所があり、通信には VPN が使用されます)
DMZ1 - 外部: すべてのサーバーがインターネットから見えるはずです。(不明)
DMZ2 - 外部: すべてのトラフィックがブロックされます。
私はネットワークとセキュリティについて非常に初心者なので、間違いがたくさんあるかもしれません。組織を実行可能にするために、これらのゾーン間でどのようなトラフィックを通過させる必要があるかを把握するための支援をいただければ幸いです。
答え1
すべてのセキュリティは入出力によって確認される必要があります。最初のパケットだけを考えてください (ファイアウォールがサポートしていない場合を除き、他のすべてのパケットは接続追跡によって取得されます)。
したがって、入力にすべてのゾーン (内部、外部、DMZ1、DMZ2) を含むマトリックスを作成し、出力にも同じものを含めます。各ケースで、関連するポートで許可されたプロトコルを定義する必要があります。ケースが空の場合、トラフィックはブロックされます。ルールが定義されていない場合、デフォルトのルールはパケットをドロップすることです。
その後、ルールを作成できるようになります。
例:あなたの場合、ブロックが必要です
- 「DMZ1 の外側」では、サーバーがインターネットから見える場所。各サーバーの IP は、関連する TCP/UDP ポートにリンクされている必要があります。
- 「DMZ1-outside」は、DNS サーバーからの 80 と 443 (更新用) および 53 ポート (DNS 用) のみを許可する必要があります (プロキシで 1 つのホストからの 80/443 のみを許可するようにすることもできます)
- 「outside-inside」は空である必要があります。外部からの接続は許可されません。
- 「inside-outside」: 80/tcp、443/tcp、53/udp、53/tcp などの許可されたルールを定義します...
いずれの場合も、最も制限を厳しくするようにしてください (IP ソース、宛先、プロトコル、ポートからの制限)。
少なくとも、外部ユーザーはこれらのサーバーを決して使用しないので、DMZ2 に名前を付けないことをお勧めします。「ServersZone」という名前を付けることができます...