我正在啟動一家新創公司,但我在概念上遇到了一些困難,無法弄清楚網路 DMZ 中的前端伺服器應該如何與處理業務邏輯和資料處理的內部後端伺服器進行通訊。
我製作了下圖來嘗試解釋我的想法:
我讀過,DMZ 的要點是,它是向公眾公開的,而不是內部設備,因此,如果 DMZ 中的設備受到損害,內部區域中的任何內容都不會受到損害。但是,如果DMZ中的設備只能透過LAN查詢內部設備,這是否就打破了DMZ的前提,並且在DMZ設備被入侵的情況下暴露了內部設備?或者說這是可以接受的?如果這沒有破壞 DMZ 的概念或安全性,那麼我可以這樣做,但如果這樣做,我的前端伺服器應該如何向後端伺服器請求資料以回應用戶查詢?
答案1
重點是內部防火牆只允許具體流量DMZ 伺服器與內部伺服器之間。如果 DMZ 伺服器受到威脅,它將只能聯繫 (fe)一個 TCP 連接埠上的一台伺服器,不是任何服務上的任何伺服器。