iT邦幫忙

0

DMZ區的servers安全問題

  • 分享至 

  • xImage

各位前輩好
最近在進修網管技能,想釐清DMZ的安全性問題,我已將對外服務的server放DMZ區,也只開必要port而已。
Mail server:172.16.1.5
ftp server: 172.16.1.6
web server: 172.16.1.7
雖然這些server在DMZ區不會直接影響到內網,如果mail server被駭了,那同網段的其他server是不是也很危險呢?因為server是重要服務也有許多資料,所以受攻擊,影響程度不會小於內網被攻是嗎?
如果防火牆只有1個dmz孔,想請教各位前輩對dmz區的規劃建議。
如果新防火牆的每個孔都可以自訂為dmz zone,是不是每台server只接一個dmz孔?這樣好像很浪費孔?

看更多先前的討論...收起先前的討論...
一個DMZ 接到 L3 以上的交換器,每台SRV都放在一個 VLAN 裡面,使用不同的 IP群組,這樣也可以啊,網路架構可以透過設備去彈性建置,怎樣安全怎樣做啊,有錢一點,每一台SRV前面都放一台防火牆也行,不是不行,就是CP值問題,能不能這麼做,有錢就可以任性啊
evolyobhh iT邦新手 5 級 ‧ 2022-09-07 10:41:25 檢舉
其實有dmz的概念,可以想像你家用得是幾門冰箱。
分冷藏跟冷凍 ,依照功能分區,也就是說切網段 。
冷藏區也會有飲料快取區跟解凍區,
當你的飲料快取區發生汙染,是不是只要清理特定區塊就好。
當沒有這樣按照功能劃分機器,就是一人中獎全員得福的可喜可賀概念。
避免被汙染,要多設POLICY單純化、該切的vlan就切。
timtam iT邦新手 4 級 ‧ 2022-09-07 11:22:20 檢舉
請問大大,您是說除了LAN切Vlan外,在DMZ區也切Vlan避免被橫向攻擊嗎?
在DMZ區也切Vlan避免被橫向攻擊嗎? YES
sd3388 iT邦好手 1 級 ‧ 2022-09-08 11:41:50 檢舉
切VLAN能避免橫向攻擊嗎? 多數情況是"不能"
(除非VLAN切了之後,彼此完全不能通訊)
網路三層架構L3switch不具資安檢核作用
意即VLAN間通訊是不安全的
請參考"微分割"及"零信任ZTNA"
資安都是錢堆出來的,再多的錢也只能相對安全,沒有絕對這件事,所以為什麼服務要做VLAN隔離甚至微切割最後加上ZTNA,其實更安全,你會上不完的,然後接下來就要組織資安部門,找一個資安長,來專門處理這堆問題 ( 其實是規劃怎麼一年花掉上千萬的資安預算 )
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
ZongXianLi
iT邦研究生 5 級 ‧ 2022-09-04 15:37:47

伺服器丟DMZ不代表你不用對他做相關的安全防護
該做的更新,該上的安全防護還是要
入侵到DMZ之後會想辦法繼續垂直入侵到你的內部

只有1PORT DMZ就在DMZ上掛Switch不就好了 -.-

剛好也有相同疑問,不懂就問
意思是多一台Router將主Router的DMZ導向到子Router再DMZ到Server嗎?

aaron3399 iT邦好手 1 級 ‧ 2022-09-05 09:55:28 檢舉

入侵後也可能不進入內部,直接被當跳板或殭屍....

evolyobhh iT邦新手 5 級 ‧ 2022-09-07 10:25:31 檢舉

policy也可以設單向多條,進跟出兩個門。
很像是蜜罐原理

0
chuway
iT邦新手 2 級 ‧ 2022-09-05 08:22:33

DMZ就當成另外一個LAN使用,對外該怎麼防就怎麼防
一般LAN以方便為主,所以同一個LAN內防護非常薄弱
DMZ用途就是把伺服器和用戶網段分開,
當伺服器被入侵時,無法成為跳版繼續入侵防護薄弱的LAN
一般同一個DMZ內的機器之間,都會啟用防護
如果DMZ/LAN內的機器都使用相同防護策略,兩者合一也無不可,還省事一點

0
sd3388
iT邦好手 1 級 ‧ 2022-09-05 12:24:02

照說DMZ區不是"不會直接影響到內網"
應該是跟內網完全隔離,不能由內網存取
而Server與Server之間理當由資安防護為佳

如果因為需求需要內網存取主機
比如email server,FTP server
這時就不適合DMZ,而該改用微分割

這是因應IT架構變得複雜,超越了傳統網路邊界安全的作法,
因為企業網路邊界並不是單一存在,並且難以識別。
一旦攻擊者突破邊界後,後續橫向移動就會暢行無阻

做為網管人員
對現今網路架構要有更新的認識
網路不再是三層架構
防火牆也不能只是擋外部攻擊
如果還抱持守舊觀念,不能應付現代資安威脅
就難怪老闆會認為MIS只要是有電的都要管
難以提升工作地位

aaron3399 iT邦好手 1 級 ‧ 2022-09-07 13:27:28 檢舉

如果還抱持守舊觀念,不能應付現代資安威脅
就難怪老闆會認為MIS只要是有電的都要管

老闆的觀念本身就很難改XD

sd3388 iT邦好手 1 級 ‧ 2022-09-07 15:36:30 檢舉

aaron3399大大
多充實自己技能,不要偷懶,有本事不怕沒去處
網路該掛就掛,不要逞能幫公司省錢
何必費勁改慣老闆想法,公司是他的,
該說的都說了,出事讓他著急幾次就好

我要發表回答

立即登入回答