У меня есть сеть организации, содержащая 4 зоны: внутреннюю, внешнюю, DMZ1 и DMZ2. DMZ1 содержит внешние серверы - DNS, WEB и Mail-серверы. DMZ2 размещает внутренние серверы - Radius, DHCP, Database, File и Application-серверы. Все зоны подключены к корпоративному пограничному маршрутизатору. Проблема в том, что я не понимаю, какой трафик должен быть разрешен между зонами. Как я это вижу:
Внутри - DMZ1: трафик должен быть проверен, и внутри должно быть разрешено получать веб-, DNS- и почтовый трафик на портах 25, 43, 80, 53. Весь остальной трафик будет заблокирован.
Внутри - DMZ2: Внутри должны быть пакеты от серверов RADIUS, DHCP, баз данных, файловых серверов и серверов приложений.
Снаружи - внутри: трафик заблокирован, разрешен только VPN. (У компании два отдельных офиса, и для связи будет использоваться vPN)
DMZ1 — Снаружи: Все серверы должны быть видны из Интернета. (Не уверен)
DMZ2 — Снаружи: Весь трафик заблокирован.
Я совсем новичок в сетях и безопасности, и у меня может быть много ошибок. Я был бы очень признателен за помощь в определении того, какой трафик должен передаваться между этими зонами, чтобы организация могла работать.
решение1
Вся безопасность должна быть видна по вводу-выводу. Просто подумайте только о первом пакете (все остальные берутся отслеживанием соединения, если только ваш брандмауэр его не поддерживает).
Поэтому создайте матрицу со всеми зонами (внутренняя, внешняя, DMZ1 и DMZ2) на входе и то же самое на выходе. В каждом случае вы должны определить разрешенные протоколы с соответствующими портами. Если случай пустой, трафик блокируется. Если правило не определено, правилом по умолчанию является: ОТБРАСЫВАТЬ пакет.
Затем вы сможете создавать правила.
Пример: в вашем случае у вас должен быть блок
- "outside-DMZ1", где серверы видны из Интернета. Каждый IP-адрес сервера должен быть связан с соответствующим портом tcp/udp.
- «DMZ1-outside» должен разрешать только порты 80 и 443 (для обновлений) и 53 порты (для DNS) с DNS-сервера (Возможно, вам понадобится прокси-сервер, разрешающий 80/443 только с одного хоста)
- «outside-inside» должно быть пустым: подключение извне не допускается
- «inside-outside»: определены разрешенные правила, такие как 80/tcp, 443/tcp, 53/udp, 53/tcp...
В каждом случае постарайтесь установить максимально строгие ограничения (ограничение по IP-источнику, месту назначения, протоколу, порту).
По крайней мере, я предлагаю не называть DMZ2, так как внешние пользователи никогда не используют эти серверы. Вы можете назвать его "ServersZone"...