问:我需要为我们本地的不同访问级别的用户,消费者,合作伙伴和应用服务器,设计DMZ方面的一些信息。在我的局域网上有超过1100个工作站,我也想要为本地的用户定义不同的访问级别。谢谢您的任何指导。 答:通常在任何和互联网连接的公司中,DMZ是需要设计的第一站。
在这个区中,不要设置任何的e-mail,数据库和对公司来说很重要的其它数据。 设置为认证而连接的服务器。当这些设备通过DMZ连接回,比如说数据库区的时候,创建一个只有这些设备的网络子网。这就把其他的内部系统和外部分离开来,并提供分层的方法。
现在,任何需要访问,比如e-mail和其他数据(共享文档,文件等)的人,要把他们放在远离 DM……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我需要为我们本地的不同访问级别的用户,消费者,合作伙伴和应用服务器,设计DMZ方面的一些信息。在我的局域网上有超过1100个工作站,我也想要为本地的用户定义不同的访问级别。谢谢您的任何指导。
答:通常在任何和互联网连接的公司中,DMZ是需要设计的第一站。在这个区中,不要设置任何的e-mail,数据库和对公司来说很重要的其它数据。
设置为认证而连接的服务器。当这些设备通过DMZ连接回,比如说数据库区的时候,创建一个只有这些设备的网络子网。这就把其他的内部系统和外部分离开来,并提供分层的方法。现在,任何需要访问,比如e-mail和其他数据(共享文档,文件等)的人,要把他们放在远离 DMZ的另外的网络中。我总是建议在DMZ的两面都设置防火墙,并在外部设置IDS系统----一个在DMZ内部,一个在数据库区,其他的或多或少都在所有的区中。
安全问题必须要以分层的方法解决。第一步是在流量进入DMZ前进行过滤。所以路由器只能把端口80和443接入DMZ。然后, DMZ将只允许DMZ e-mail, SMTP中的任何应用程序的流量。不要FTP,因为它不安全。DMZ应该只允许后面的通向设备的合法流量。
翻译
相关推荐
-
金融数据如何实现安全自主可控?
金融行业核心软硬件如操作系统、数据库、存储等普遍来自国外,国产化率较低,自主可控的压力较大,存在着难以预知的安全风险……
-
迈克菲发布新版数据中心安全套件
迈克菲宣布推出四款新版数据中心安全套件,旨在帮助确保数据中心服务器和数据库的安全,这些套件将白名单、黑名单以及虚拟化技术相结合。
-
利用网络防止Oracle TNS Listener毒药攻击
虽然Oracle TNS Listener毒药攻击已经存在很久,但甲骨文公司到目前为止只公布了对它的解决方法,并没有针对它的补丁。
-
网络防火墙已走到尽头?
几年前参加TechEd会议时听到有专家谈论“DMZ的末日”,该话题吸引了很多人参与,并且激起了大家的很多争论。现在,防火墙真的会退出历史舞台吗?