내부, 외부, DMZ1 및 DMZ2의 4개 영역을 포함하는 조직의 네트워크가 있습니다. DMZ1에는 DNS, 웹 및 메일 서버와 같은 외부 서버가 포함되어 있습니다. DMZ2는 Radius, DHCP, 데이터베이스, 파일 및 애플리케이션 서버와 같은 내부 서버를 호스팅합니다. 모든 영역은 엔터프라이즈 에지 라우터에 연결됩니다. 문제는 영역 간에 어떤 종류의 트래픽이 허용되어야 하는지 이해할 수 없다는 것입니다. 내가 보는 방법:
내부 - DMZ1: 트래픽을 검사해야 하며 내부는 포트 25,43,80,53에서 웹, DNS 및 메일 트래픽을 가져오도록 허용해야 합니다. 다른 모든 트래픽은 차단됩니다.
내부 - DMZ2: 내부는 Radius, DHCP, 데이터베이스, 파일 및 응용 프로그램 서버에서 패킷을 가져와야 합니다.
외부 - 내부: 트래픽이 차단되고 VPN만 허용됩니다. (회사는 두 개의 별도 위치가 있으며 통신에는 VPN이 사용됩니다)
DMZ1 - 외부: 모든 서버가 인터넷에서 보여야 합니다. (확실하지 않다)
DMZ2 - 외부: 모든 트래픽이 차단됩니다.
저는 네트워킹과 보안을 처음 접했기 때문에 실수가 많을 수도 있습니다. 조직을 실행 가능하게 만들기 위해 이러한 영역 간에 어떤 트래픽이 전달되어야 하는지 파악하는 데 도움을 주시면 정말 감사하겠습니다.
답변1
모든 보안은 입출력으로 보아야 합니다. 첫 번째 패킷만 생각해 보세요(방화벽이 지원하지 않는 경우를 제외하고 다른 모든 패킷은 연결 추적에 의해 사용됩니다).
따라서 입력에서는 모든 구역(내부, 외부, DMZ1 및 DMZ2)을 사용하고 출력에서는 동일한 행렬을 만듭니다. 각각의 경우 관련 포트와 함께 허용되는 프로토콜을 정의해야 합니다. 케이스가 비어 있으면 트래픽이 차단됩니다. 규칙이 정의되지 않은 경우 기본 규칙은 패킷을 삭제하는 것입니다.
그러면 규칙을 만들 수 있습니다.
예: 귀하의 경우에는 블록이 있어야 합니다.
- 인터넷에서 서버가 보이는 "outside-DMZ1". 각 서버 IP는 연결된 tcp/udp 포트에 연결되어야 합니다.
- "DMZ1-outside"는 DNS 서버에서 80 및 443(업데이트용) 및 53개 포트(DNS용)만 허용해야 합니다(프록시가 하나의 호스트에서만 80/443을 허용하도록 할 수도 있음).
- "outside-inside"는 비어 있어야 합니다. 외부에서는 연결이 허용되지 않습니다.
- "inside-outside": 80/tcp, 443/tcp, 53/udp, 53/tcp...와 같은 허용되는 규칙을 정의했습니다.
각각의 경우에 가장 제한적(IP 소스, 대상, 프로토콜, 포트 제한)을 적용해 보십시오.
적어도 외부 사용자는 이러한 서버를 사용하지 않으므로 DMZ2라는 이름을 지정하지 않는 것이 좋습니다. 이름을 "ServersZone"으로 지정할 수 있습니다...