各位前輩好
最近在進修網管技能,想釐清DMZ的安全性問題,我已將對外服務的server放DMZ區,也只開必要port而已。
Mail server:172.16.1.5
ftp server: 172.16.1.6
web server: 172.16.1.7
雖然這些server在DMZ區不會直接影響到內網,如果mail server被駭了,那同網段的其他server是不是也很危險呢?因為server是重要服務也有許多資料,所以受攻擊,影響程度不會小於內網被攻是嗎?
如果防火牆只有1個dmz孔,想請教各位前輩對dmz區的規劃建議。
如果新防火牆的每個孔都可以自訂為dmz zone,是不是每台server只接一個dmz孔?這樣好像很浪費孔?
已邀請的邦友 {{ invite_list.length }}/5
伺服器丟DMZ不代表你不用對他做相關的安全防護
該做的更新,該上的安全防護還是要
入侵到DMZ之後會想辦法繼續垂直入侵到你的內部
只有1PORT DMZ就在DMZ上掛Switch不就好了 -.-
DMZ就當成另外一個LAN使用,對外該怎麼防就怎麼防
一般LAN以方便為主,所以同一個LAN內防護非常薄弱
DMZ用途就是把伺服器和用戶網段分開,
當伺服器被入侵時,無法成為跳版繼續入侵防護薄弱的LAN
一般同一個DMZ內的機器之間,都會啟用防護
如果DMZ/LAN內的機器都使用相同防護策略,兩者合一也無不可,還省事一點
照說DMZ區不是"不會直接影響到內網"
應該是跟內網完全隔離,不能由內網存取
而Server與Server之間理當由資安防護為佳
如果因為需求需要內網存取主機
比如email server,FTP server
這時就不適合DMZ,而該改用微分割
這是因應IT架構變得複雜,超越了傳統網路邊界安全的作法,
因為企業網路邊界並不是單一存在,並且難以識別。
一旦攻擊者突破邊界後,後續橫向移動就會暢行無阻
做為網管人員
對現今網路架構要有更新的認識
網路不再是三層架構
防火牆也不能只是擋外部攻擊
如果還抱持守舊觀念,不能應付現代資安威脅
就難怪老闆會認為MIS只要是有電的都要管
難以提升工作地位
iThome鐵人賽
看影片追技術