У меня есть сеть организации, содержащая 4 зоны: внутренняя, внешняя, DMZ1 и DMZ2. DMZ1 содержит внешние серверы - DNS, WEB и почтовые серверы. DMZ2 размещает внутренние серверы - Radius, DHCP, серверы баз данных, файловые серверы и серверы приложений. Все зоны подключены к граничному маршрутизатору предприятия. Проблема в том, что я не понимаю, какой трафик должен быть разрешен между зонами. Как я это вижу:
Внутри - DMZ1: трафик должен быть проверен, и внутри должно быть разрешено получать веб, DNS и почтовый трафик на портах 25,43,80,53. Весь остальной трафик будет заблокирован.
Внутри - DMZ2: Внутри должны поступать пакеты с серверов radius, dhcp, баз данных, файловых и приложений.
Снаружи - внутри: трафик заблокирован, разрешен только VPN. (Компания имеет два разных местоположения, и для связи будет использоваться vPN)
DMZ1 - Снаружи: все серверы должны быть видны из Интернета. (Не уверен)
DMZ2 - Outside: Весь трафик заблокирован.
Я новичок в сетях и безопасности, и у меня может быть много ошибок. Я был бы очень признателен за помощь в выяснении того, какой трафик должен проходить между этими зонами, чтобы организация работала.
Вся безопасность должна быть видна вводом-выводом. Просто подумайте только о первом пакете (все остальные принимаются отслеживанием соединения, за исключением случаев, когда ваш брандмауэр не поддерживает это).
Итак, сделайте матрицу со всеми зонами (внутри, снаружи, DMZ1 и DMZ2) на входе и такими же на выходе. В каждом случае вы должны определить разрешенные протоколы с соответствующими портами. Если кейс пуст, трафик блокируется. Если правило не определено, правило по умолчанию: УДАЛИТЬ пакет.
После этого вы сможете создавать правила.
Пример: в вашем случае должен быть блок
В каждом случае постарайтесь быть максимально строгим (ограничение по IP-адресу источника, адресата, протокола, порта).
По крайней мере, я предлагаю не называть DMZ2, так как внешние пользователи никогда не используют эти серверы. Вы можете назвать его "ServersZone"...