Quale sarebbe la ragione per posizionare un server proxy in una zona demilitarizzata (DMZ)?
Comprendo che una DMZ è una rete separata per la rete interna (si trova tra la rete interna e il firewall). So che vorresti aggiungere un computer che ospita servizi per la DMZ, ad es. server web, per aumentare la sicurezza (se il tuo server web viene attaccato, la tua rete interna sarà al sicuro). Ho visto server proxy in alcune attività che sono collocati nella rete interna e non nella DMZ.
"Proxy server" è un termine impreciso. Devi pensare a cosa protegge il server proxy per determinare dove si adatta alla rete.
Ad esempio, i server proxy web utilizzati per incanalare la navigazione in uscita vengono spesso posizionati su reti interne anziché su DMZ: le loro connessioni sono in uscita e non rappresentano alcuna "minaccia" aggiuntiva per la rete interna - un utente interno non guadagna nulla attaccandolo per sfruttare il suo accesso; sono già interni.
D'altra parte, i server proxy delle applicazioni che accettano il traffico avviato da Internet e l'intestazione in entrata vengono di solito collocati in una DMZ. L'ipotesi è che una connessione avviata da un utente malintenzionato possa in qualche modo violare il software sul proxy, ad esempio un buffer overflow, e che una volta che ciò accada, l'utente malintenzionato può utilizzare il proxy come punto di sosta. Tale proxy viene mantenuto nella DMZ per limitare il danno che una violazione riuscita di quel primo livello può causare.