beneficios de seguridad de red adicionales de double hop dmz?

Question

beneficios de seguridad de red adicionales de double hop dmz?

#1 de Rory Alsop (1 votos)
#2 de Lucas Kauffman (1 votos)

1

Red principal - > Firewall de la zona interna - > Cortafuegos DMZ interno - > Cortafuegos externo - > Usuario basado en Internet

No se me ocurre ninguna razón por la que el "firewall DMZ interno" haga que esta topología esté más protegida desde una perspectiva de seguridad de la red. Supongamos que elimina el "firewall DMZ interno" para quedarse con la red Core - > Firewall de la zona interna - > Cortafuegos externo - > Usuario basado en Internet.

Por alguna razón, tener un firewall adicional definitivamente suena más seguro. ¿Pensamientos?

dmz

pregunta John Blezard 12.02.2016 - 07:56

fuente

2 respuestas

Lea otras preguntas en las etiquetas dmz

Mi cuenta de iTunes fue hackeada y alguien la usó para comprar en la aplicación. ¿Cómo pudo pasar eso? [cerrado] Blackphone - Silentcircle - aplicaciones móviles

score 1 · Answer 1

Ese diagrama parece incorrecto. Por lo general, lo tiene organizado de forma ligeramente diferente si está utilizando dos capas de cortafuegos.

Red principal - > Cortafuegos interno - > DMZ - > Cortafuegos perimetral - > usuario de Internet

Esto le permite proteger no solo los servidores en la DMZ de al menos algunos ataques desde el exterior, sino que también protege su red central de los ataques de un dispositivo comprometido en la DMZ.

En realidad, puede tener un dispositivo de firewall que actúe como cortafuegos interno y externo, así como segregando secciones de la DMZ entre sí (por ejemplo, por servicio, por perfil de riesgo o por plataforma), a través de múltiples interfaces y / o VLAN, o puede usar firewalls separados de diferentes proveedores para evitar un compromiso de ambos a través de un exploit. Todo esto dependerá de su perfil de riesgo y amenaza.

score 1 · Answer 2

Además de la respuesta de Rory. Estos días su red puede ser dividida en varias zonas. Estas zonas están segregadas entre sí mediante firewalls y, a menudo, tienen medidas adicionales como IPS / IDS en los puntos de demarcación. Si se está preguntando por qué debería hacer una mayor separación de las cosas, es por la simple razón de la clasificación de datos o el uso comercial.

Por ejemplo, si está ejecutando una red bancaria, puede tener sentido segregar zonas de administración de red, zonas de desarrollador, zonas de usuario, zonas de tráfico de pago, zonas de comercio y zonas de conectividad SWIFT entre sí. Algunos bancos van aún más lejos y separan a su personal entre sí, por ejemplo, investigaciones de fraude, auditoría interna, banca corporativa, banca minorista, ...

El apilamiento de firewalls no lo hace más seguro, pero puede permitirle exponer solo ciertos servicios a ciertas redes. El arte de la zonificación de cortafuegos es garantizar que las cosas no se vuelvan demasiado complejas, pero que tengan un amplio control en su lugar.