Intercambio de datos DMZ y LAN: ¿en qué dirección se deben hacer las conexiones?

Lo que realmente estás preguntando es en qué dirección se pueden abrir las conexiones TCP, ya que eso es lo que hay que poner en las reglas de firewall con estado. El objetivo de tener una DMZ es proporcionar una zona de amortiguamiento que limite la propagación de malware y evite que los sistemas pirateados accedan a los sistemas internos, por lo que permitir que los sistemas DMZ se conecten a los sistemas en la LAN es un riesgo inherente. Es más seguro permitir que los sistemas LAN abran conexiones a sistemas DMZ ya que es difícil propagar malware o hackear sistemas a través de conexiones abiertas a un sistema. Eso no significa que nunca pueda permitir que la DMZ se conecte a la LAN, a veces es inevitable, pero debería ser lo menos posible.

Además de la respuesta de @GdD, algunas conexiones deben abrirse desde la DMZ a la LAN, por ejemplo, una conexión de servidor web a una aplicación o servidor de base de datos.

El usuario hace clic en un botón del sitio web que activa una búsqueda en la base de datos para devolver información.

Como permitir que las conexiones se realicen fuera de la DMZ es un mayor riesgo (un atacante que comprometa al servidor en la DMZ puede comenzar a abusar de las conexiones) lo que usted hace es colocar controles sobre lo que pueden hacer estas conexiones. En este caso, usaría un firewall para limitar la conexión a un puerto específico ya la dirección IP específica del servidor de la base de datos, y el servidor en sí estaría configurado para ejecutar solo una breve lista de procedimientos almacenados que ya han sido examinados por riesgo .

Debido a que la DMZ es una zona de alto riesgo, la arquitectura que use debe ser apropiada para lo que desea usar. Eche un vistazo a esta pregunta sobre las mejores prácticas de DMZ para obtener ejemplos.