DMZゲートウェイ上のダーティでクリーンなインターフェース
DMZには、認証とセキュリティの観点から着信および発信Webサービス要求を処理するWebサービス境界ゲートウェイがあります。
2つのネットワークインターフェイスが配置されています。「ダーティ」と呼ばれ、インターネットとの間のトラフィックに使用されます。もう1つは「クリーン」と呼ばれ、イントラネットとの間のトラフィックに使用されます。ただし、ダーティインターフェイスにはまだ内部IPアドレスがあります。ファイアウォールに設定されたパブリックIPアドレスがあり、ダーティインターフェイスに要求を転送するためにNAT=を実行します。
このようなアーキテクチャの利点は何なのか、今疑問に思っています。ダーティでクリーンなインターフェースを持つことには本当に利点がありますか?ダーティインターフェイスが直接パブリックIPアドレスを持っている場合、セキュリティの利点を確認できましたが、このシナリオでは、クリーンなトラフィックとダーティトラフィックを分割する利点がありません...
DMZホストは基本的にファイアウォールであるため、説明した設計は意味をなさず、完全に正しいものです。これは、1つのインターフェースのファイアウォール(最も弱いアーキテクチャ)に勝るものではありません。
2インターフェースファイアウォールを使用している場合、2つのインターフェースは異なるネットワーク上にあります。 「インターネット」およびDMZまたはDMZおよびイントラネット。
同時に、この混乱したデザインは実際には何の害もありません。おそらく、これはある種の歴史的な建築事故です。
2インターフェース(別名2層ファイアウォール)アーキテクチャは、内部ネットワークの多層防御に関するすべてです。ダーティでクリーンなシナリオでは、トラフィックは2つの異なるファイアウォールセットを通過します。インターネットに面したファイアウォールはDMZを外部の脅威から保護しますが、内部ファイアウォールは内部ネットワークを危険にさらされている可能性があるDMZ=システムから保護します。
2組のファイアウォールを設けることの背後にある考えは、インターネットに面したファイアウォールが危険にさらされた場合、または誰かが誤って大量のアクセスを開いた場合でも、ファイアウォールの内部セットがコアネットワークを保護することです。多くの場合、2セットのファイアウォールは異なるメーカーのものであるため、1つのエクスプロイトが両方のファイアウォールセットを危険にさらすことはありません。 1組のファイアウォールで、すべての卵を1つのバスケットに入れます。
インターフェイスする必要はありませんが、利点があります。
- 測定:ダーティトラフィックとクリーントラフィックを別々に保つことは、2種類のトラフィックの量を測定できることを意味します
- ネットワークの簡素化:2つのインターフェースを使用してまっすぐにルーティングを維持する方が多少簡単です。
- ダーティトラフィックとクリーントラフィックの混合を最小限に抑える:目標は、外部ファイアウォールと内部ファイアウォールの間を直接通過するトラフィックを減らすことです。目標は、ティア間を通過するためにデバイスにallトラフィックを強制することです。トラフィックが内部ファイアウォールと外部ファイアウォールの間を直接移動しないことが理想的です。たとえば、Webトラフィックはプロキシを通過します。トラフィックが通過するデバイスが増えるほど、悪意のあるトラフィックを阻止する機会が増える
その欠点は、複雑さと管理オーバーヘッドが増加することです。また、企業のITセキュリティに影響を与えることはめったにないため、多くの場合、何の利益もないように思えます。
しかし、それは一般的に行う価値があるほど頻繁に違いを生みます。また、審査員を幸せにします。特に、組織には最初から2組のファイアウォールが必要であると誰かが思っているため、組織が単一の層で十分であることを示すには、十分な根拠が必要です。