爲了安全起見,我的客戶的網絡安全人員正在DMZ中設置其新網站。這對我來說是完全意義上的。但是,她繼續說,公司員工無法在內部訪問該網站是一種最佳做法。例如,爲了檢查網站是否啓動,她建議他們使用手機。根據最佳實踐阻止對dmz公司網站的內部訪問
這是一件新事物嗎?它有意義嗎?我從來沒有聽說過公司員工不能通過他們的內部網絡訪問公司網站。我不是一名安全人員,我是一名開發人員,所以如果這是正確的錢請讓我知道,這對我來說似乎不尋常。
這是公司現在正在實施的最佳實踐嗎?這是建議的方式嗎?
任何信息,非常感謝。我只是感到困惑,有點驚呆了。
謝謝!
他們應該阻止來自內部網絡的Windows域,目錄服務和未使用的端口,但應允許必要的Web端口進行管理。 dmz的目的是保護您的內部網絡免受公共服務器的影響,而不是相反。您不應該讓網絡安全人員承擔風險太低,無法證明與從外部監控服務器相關的額外成本。如果你的安全人員有任何網絡安全方面的經驗,他會知道這是標準做法。如果沒有,請把它交給管理層,告訴他們你需要他們支付另一個互聯網連接來監視你的服務器,或者讓安全人員在他的防火牆中更改一個訪問列表。
謝謝!我喜歡去管理的想法,並告訴他們我需要我自己的外線:)。 – monkeymindllc 2012-02-07 19:21:48
DMZ中的機器不應該能夠連接到內部網絡中的任何機器。來自內部網絡的機器可以始終連接到DMZ中的機器。 一般來說,員工可以訪問在DMZ中運行的網站(和其他服務),因此沒有理由限制員工連接到您自己的DMZ機器。
所以要回答你的問題: 這是企業現在正在實施的最佳實踐嗎?
沒有
是它的建議的路要走?
這並不能讓你更安全。 如果這個限制背後的原因是爲了防止您的網站發佈的惡意軟件可能感染內部機器,那麼它是如何比受隨機網站發佈的惡意軟件感染更安全。
謝謝您的反饋,Shivam。對此,我真的非常感激。 – monkeymindllc 2012-02-07 19:21:16
這不是一個編程問題 - 它可能更適合於serverfault – Jason 2012-02-06 19:31:55
這不是一個編程問題本身,但我認爲它適合這個論壇。例如,我設計了這個網站,以便那些具有管理角色的人可以向該網站添加新用戶。如果沒有公司用戶可以訪問該網站的想法,那麼這意味着我需要開發一個單獨的管理網站,只能在內部訪問。這只是一個例子,但我想你可以看到我要去的地方。感謝您的意見。 – monkeymindllc 2012-02-06 19:36:35