【TechTarget中国原创】问:我需要在DMZ网络中创建五个服务器。但是如果其中受到网络外部的攻击,其它的服务器也可能自动受到攻击吗?如果其中之一受到攻击,如何保护其它的服务器?
答:你问的是个很普遍的问题,而且是为什么安全专家信奉“深度防御”哲学的一个很好的例子。
你很敏锐地指出了DMZ中的单个服务器受到攻击把DMZ中的其它设备都置于险地。尽管如此,有一点很重要,就是指出一个系统受到攻击,其它系统不会必定自动受到攻击。当攻击者获得单个服务器的访问权限时,这套系统确实提供了你的网络的一个可能的立足点。依靠你的DMZ服务器之间的可信赖的关系,黑客可以利用这个里点获得其它系统的访问权。
企业应该如何防御这种风险呢?通过使用安全控件而不是分割DMZ的网络防火墙!例如,为DMZ中的每个服务器配置主机防火墙软件,限制入站流量,只允许满足商业需求的必需流量。这些规则甚至应该应用到配置在DMZ中的外部服务器上。同样,采用所有其它的系统加固的最佳实践:确保系统安装了合适的补丁、执行良好的帐户管理以及在网络中配置杀毒软件和入侵检测软件。