ulteriori vantaggi per la sicurezza della rete da doppi hop dmz?

1

Rete principale - > Area interna del firewall - > Firewall DMZ interno - > Firewall esterno - > Utente basato su Internet

Non riesco a pensare a nessuna ragione per cui "il firewall interno DMZ" renderebbe questa topologia più sicura dal punto di vista della sicurezza della rete. Supponi di eliminare il "firewall interno DMZ" in modo da rimanere con la rete principale - > Area interna del firewall - > Firewall esterno - > Utente basato su Internet.

Per qualche ragione avere un firewall aggiuntivo suona sicuramente più sicuro. Pensieri?

    
posta John Blezard 12.02.2016 - 07:56
fonte

2 risposte

1

Questo diagramma sembra errato. In genere lo hai disposto in modo leggermente diverso se stai usando due livelli di firewall.

Rete principale - > Firewall interno - > DMZ - > Firewall perimetrale - > Utente Internet

Ciò consente di proteggere non solo i server della DMZ da alcuni attacchi esterni, ma protegge anche la rete principale dagli attacchi di un dispositivo compromesso nella DMZ.

In realtà, potresti avere un dispositivo firewall che funge da firewall sia interno che esterno, nonché separare le sezioni della DMZ l'una dall'altra (ad esempio dal servizio, dal profilo di rischio o dalla piattaforma), attraverso più interfacce e / o VLAN oppure è possibile utilizzare firewall separati di fornitori diversi per evitare compromessi sia con un solo exploit. Tutto dipenderà dal tuo profilo di rischio e minaccia.

    
risposta data 12.02.2016 - 09:03
fonte
1

Oltre alla risposta di Rory. In questi giorni la tua rete può essere suddivisa in diverse zone. Queste zone sono separate l'una dall'altra usando i firewall e spesso hanno misure aggiuntive come IPS / IDS nei punti di demarcazione. Se ti stai chiedendo perché dovresti migliorare ulteriormente le cose, è per la semplice ragione della classificazione dei dati o dell'uso commerciale.

Ad esempio, se si sta utilizzando una rete bancaria, può essere opportuno separare le zone di gestione della rete, le zone degli sviluppatori, le zone utente, le zone di traffico dei pagamenti, le zone di negoziazione e le zone di connettività SWIFT. Alcune banche si spingono ancora oltre e separano il loro personale tra loro, ad esempio indagini sulle frodi, audit interni, corporate banking, operazioni bancarie al dettaglio, ...

L'impilamento dei firewall non ti rende più sicuro, ma ti consente di esporre solo determinati servizi su determinate reti. L'arte della zonizzazione del firewall garantisce che le cose non diventino eccessivamente complesse, ma mantengano comunque un ampio controllo.

    
risposta data 12.02.2016 - 09:43
fonte

Leggi altre domande sui tag