DMZおよびLANデータ交換-接続はどの方向で行う必要がありますか?
DMZでサービスを構成するときに、内部LANとデータを交換して、より安全なシナリオを以下に示します。
DMZ service pushes data to LAN service
または
LAN service pulls data from DMZ service
DMZで実行されているサービスを公開してLANからの接続を受け入れるか、LANサービスがDMZからの接続を受け入れることができるように準備するには、どちらがより安全でしょう。
異なるアーキテクチャが導入されており、単一のファイアウォールを使用するものと、2つのファイアウォール設定を使用するものがあります。
あなたが本当に求めているのは、方向TCP接続を開くことができる方向です。これは、ステートフルなファイアウォールルールに入れる必要があるためです。DMZマルウェアの拡散を制限し、ハッキングされたシステムが内部システムにアクセスするのを防ぐバッファゾーンを提供することです。したがって、DMZ=システムにLAN内のシステムへの接続を許可することは、本質的に危険です。許可する方がより安全です。 DMZシステムへの接続を開くためのLANシステム。システムに開かれた接続を介してマルウェアを拡散したり、システムをハッキングすることは難しいためです。これは、DMZでLANに接続します。避けられないこともありますが、できる限り少なくする必要があります。
@GdDの回答に加えて、DMZからLANへの接続をいくつか開く必要があります。たとえば、アプリケーションまたはデータベースサーバーへのWebサーバー接続です。
ユーザーがWebサイトのボタンをクリックすると、データベースの検索がトリガーされ、いくつかの情報が返されます。
DMZから接続を許可することは、より高いリスクです(DMZでサーバーを危険にさらす攻撃者が接続を悪用し始める可能性があります)これらの接続で実行できることを制御します。この場合、ファイアウォールを使用して、接続を特定の1つのポートとデータベースサーバーの特定のIPアドレスに制限し、サーバー自体は、ショートのみを実行するように構成されます。リスクの精査済みのストアドプロシージャのリスト。
DMZは高リスクゾーンであるため、使用するアーキテクチャはそれを使用する目的に適している必要があります。 この質問DMZ=ベストプラクティス 例。