Вопросы Теги

Фильтрация трафика между зонами безопасности

У меня есть сеть организации, содержащая 4 зоны: внутренняя, внешняя, DMZ1 и DMZ2. DMZ1 содержит внешние серверы - DNS, WEB и почтовые серверы. DMZ2 размещает внутренние серверы - Radius, DHCP, серверы баз данных, файловые серверы и серверы приложений. Все зоны подключены к граничному маршрутизатору предприятия. Проблема в том, что я не понимаю, какой трафик должен быть разрешен между зонами. Как я это вижу:

Внутри - DMZ1: трафик должен быть проверен, и внутри должно быть разрешено получать веб, DNS и почтовый трафик на портах 25,43,80,53. Весь остальной трафик будет заблокирован.

Внутри - DMZ2: Внутри должны поступать пакеты с серверов radius, dhcp, баз данных, файловых и приложений.

Снаружи - внутри: трафик заблокирован, разрешен только VPN. (Компания имеет два разных местоположения, и для связи будет использоваться vPN)

DMZ1 - Снаружи: все серверы должны быть видны из Интернета. (Не уверен)

DMZ2 - Outside: Весь трафик заблокирован.

Я новичок в сетях и безопасности, и у меня может быть много ошибок. Я был бы очень признателен за помощь в выяснении того, какой трафик должен проходить между этими зонами, чтобы организация работала.

0
задан 12 December 2020 в 15:29
1 ответ

Вся безопасность должна быть видна вводом-выводом. Просто подумайте только о первом пакете (все остальные принимаются отслеживанием соединения, за исключением случаев, когда ваш брандмауэр не поддерживает это).

Итак, сделайте матрицу со всеми зонами (внутри, снаружи, DMZ1 и DMZ2) на входе и такими же на выходе. В каждом случае вы должны определить разрешенные протоколы с соответствующими портами. Если кейс пуст, трафик блокируется. Если правило не определено, правило по умолчанию: УДАЛИТЬ пакет.

После этого вы сможете создавать правила.

Пример: в вашем случае должен быть блок

  • "outside-DMZ1", где серверы видны из интернета.Каждый IP-адрес сервера должен быть связан с соответствующим портом tcp/udp.
  • «DMZ1-внешний» должен разрешать только 80 и 443 (для обновлений) и 53 порты (в DNS) от DNS-сервера (может потребоваться, чтобы прокси-сервер разрешал 80/443 только с одного хоста)
  • «внешний — внутри» должно быть пустым: соединение снаружи не разрешено
  • «внутри-снаружи»: определены разрешенные правила, такие как 80/tcp, 443/tcp, 53/udp, 53/tcp...

В каждом случае постарайтесь быть максимально строгим (ограничение по IP-адресу источника, адресата, протокола, порта).

По крайней мере, я предлагаю не называть DMZ2, так как внешние пользователи никогда не используют эти серверы. Вы можете назвать его "ServersZone"...

0
ответ дан 12 December 2020 в 13:20

Теги

Похожие вопросы