问:我们的Web、FTP(文件传输协议)和DNS(域名系统)服务器都是设置在DMZ内部的,并且只允许几个特定的端口从外部区域进行访问。如果我还把服务器放在内部,然后允许外部访问端口,这样有什么不同?特别是我们在思科的PIX防火墙上使用相同的命令,允许端口从较低的安全区域访问较高的安全区域。 答:不错的问题。把服务器放置在DMZ内部,而不是网络内部,是为了防御来自网络内部或外部的攻击。
研究表明,大部分的安全事故是由内部引起的。内部和外部的访问使用同样的规则有意义吗?分离服务器和DMZ的另外一个原因是,为了帮助保护内部网络。比如,现在,在端口80上,有很多的正在运行的攻击,而你需要为Web服务……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我们的Web、FTP(文件传输协议)和DNS(域名系统)服务器都是设置在DMZ内部的,并且只允许几个特定的端口从外部区域进行访问。如果我还把服务器放在内部,然后允许外部访问端口,这样有什么不同?特别是我们在思科的PIX防火墙上使用相同的命令,允许端口从较低的安全区域访问较高的安全区域。
答:不错的问题。把服务器放置在DMZ内部,而不是网络内部,是为了防御来自网络内部或外部的攻击。研究表明,大部分的安全事故是由内部引起的。内部和外部的访问使用同样的规则有意义吗?分离服务器和DMZ的另外一个原因是,为了帮助保护内部网络。比如,现在,在端口80上,有很多的正在运行的攻击,而你需要为Web服务器开放开放端口80 。通过把服务器放置砸DMZ内部,就可以对DMZ开放端口80,但是可能会对内部网络关闭。如果在内部网络上有服务器,就不能关闭端口。你总是需要拒绝任何流量,然后允许需要的内容。通过把服务器放置在DMZ内部,在应用安全公理的时候就有了更多的间隔尺寸。
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
企业系统安全管理和强化的十个建议(二)
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。
-
整合远程服务器和存储设备 实现安全与高效
Riverbed Steelhead Granite解决方案利用一种全新的存储架构,企业可以整合远程基础设施,从而提高安全性和效率,同时不会对分支机构的最终用户应用性能造成不良影响。