私はスタートアップを立ち上げているところですが、ネットワーク DMZ 内のフロントエンド サーバーが、ビジネス ロジックとデータ処理を扱う内部のバックエンド サーバーとどのように通信するのか、概念的に理解するのが困難です。
私が考えていることを説明するために作成した次の図があります。
私が読んだところによると、DMZ のポイントは、内部デバイスではなく、DMZ が一般に公開されているものであり、DMZ 内のデバイスが侵害されても、内部ゾーンのデバイスは侵害されないということです。しかし、DMZ 内のデバイスが LAN 経由で内部デバイスを照会できる場合、DMZ デバイスが侵害された場合に DMZ の前提が崩れ、内部デバイスが露出することになりませんか? それとも、それは許容されますか? それが DMZ の概念やセキュリティに反しないのであれば、そうすればよいのですが、もしそうであれば、フロントエンド サーバーは、ユーザーの照会に応じて、バックエンド サーバーにデータを要求するにはどうすればよいのでしょうか?
答え1
重要なのは、内部ファイアウォールは特定のトラフィックDMZサーバーと内部サーバー間の通信。DMZサーバーが侵害された場合、DMZサーバーは内部サーバーにしか接続できなくなります。1つのTCPポートに1つのサーバー、どのサービス上のどのサーバーでもありません。