我有一個組織的網絡,包含 4 個區域:內部、外部、DMZ1 和 DMZ2。 DMZ1 包含面向外部的伺服器 - DNS、WEB 和郵件伺服器。 DMZ2 託管內部伺服器 - Radius、DHCP、資料庫、檔案和應用程式伺服器。所有區域都連接到企業邊緣路由器。問題是我不明白區域之間應該允許什麼樣的流量。我怎麼看:
內部 - DMZ1:應檢查流量,並允許內部在連接埠 25、43、80、53 上取得 Web、DNS 和郵件流量。所有其他流量都將被阻止。
內部 - DMZ2:內部應從 radius、dhcp、資料庫、檔案和應用程式伺服器取得資料包。
外部 - 內部:流量被阻止,僅允許 VPN。 (公司有兩個獨立地點,將使用VPN進行通訊)
DMZ1 - 外部:所有伺服器都應該可以從網路上看到。 (沒有把握)
DMZ2 - 外部:所有流量均被阻止。
我對網路和安全非常陌生,可能會犯很多錯誤。我非常感謝您幫助找出這些區域之間應該傳遞哪些流量以使組織能夠運作。
答案1
所有的安全都必須透過輸入輸出來看到。只需考慮第一個資料包(所有其他資料包均由連接追蹤獲取,除非您的防火牆不支援)。
因此,製作一個矩陣,其中所有區域(內部、外部、DMZ1 和 DMZ2)的輸入和輸出相同。在每種情況下,您都必須定義允許的協定以及關聯的連接埠。如果箱子是空的,交通就會受阻。如果沒有定義規則,則預設規則是:DROP 封包。
然後您將能夠建立規則。
範例:在您的情況下,您必須有一個區塊
- “outside-DMZ1”,從 Internet 可以看到伺服器。每個伺服器 IP 必須連結到關聯的 tcp/udp 連接埠。
- 「DMZ1-outside」必須僅允許來自 DNS 伺服器的 80 和 443(用於更新)以及 53 連接埠(用於 DNS)(您可能希望代理程式僅允許來自一台主機的 80/443)
- 「outside-inside」必須為空:不允許從外部連接
- "inside-outside" :定義允許的規則,例如 80/tcp、443/tcp、53/udp、53/tcp...
在每種情況下,盡量採用最嚴格的限制(IP 來源、目標、協定、連接埠的限制)。
至少,我建議不要命名 DMZ2,因為外部用戶從不使用這些伺服器。您可以將其命名為“ServersZone”...