Scambio di dati DMZ e LAN - quale direzione devono essere effettuate le connessioni?

Quello che ti stai chiedendo è in quale direzione possono essere aperte le connessioni TCP in quanto è ciò che deve essere inserito nelle regole del firewall stateful. L'obiettivo di avere una DMZ è quello di fornire una zona cuscinetto che limiterà la diffusione del malware e impedirà ai sistemi hacker di accedere ai sistemi interni, quindi consentire ai sistemi DMZ di connettersi ai sistemi nella LAN è intrinsecamente rischioso. È più sicuro consentire ai sistemi LAN di aprire connessioni ai sistemi DMZ poiché è difficile diffondere malware o hackerare i sistemi attraverso le connessioni aperte a un sistema. Ciò non significa che non si possa permettere alla DMZ di connettersi alla LAN, a volte è inevitabile, ma dovrebbe essere il meno possibile.

Oltre alla risposta di @ GdD, alcune connessioni devono essere aperte dalla DMZ alla LAN, ad esempio una connessione al server Web con un'applicazione o un server di database.

L'utente fa clic su un pulsante sul sito Web che attiva una ricerca nel database per restituire alcune informazioni.

Poiché consentire alle connessioni di essere create dalla DMZ è un rischio più elevato (un utente malintenzionato che compromette il server nella DMZ può iniziare ad abusare delle connessioni) ciò che fai è posizionare i controlli su ciò che queste connessioni possono fare. In questo caso si utilizza un firewall per limitare la connessione a una porta specifica e all'indirizzo IP specifico del server di database e il server stesso sarebbe configurato per eseguire solo un breve elenco di stored procedure che sono già state esaminate per il rischio .

Poiché la DMZ è una zona ad alto rischio, l'architettura che utilizzi dovrebbe essere appropriata per ciò che desideri utilizzare. Dai un'occhiata a questa domanda sulle migliori pratiche DMZ per gli esempi.