Re: [討論] 關於DMZ與內部網域的溝通問題
※ 引述《artingo (尚未成功仍需努力)》之銘言:
: 請問一下,置於DMZ區的主機,通常都如何與內部網域(非DMZ區)的主機溝通?
: 是否在DMZ區的主機上,裝設兩張網卡,一張的IP供外部存取
: 另一張IP,設為與內部網域相同網段的IP,以跟內部網域內的主機作溝通呢?
看你的架構而定,若是我之前呆的大公司,則是透過firewall來進行WAN、DMZ1、DMZ2
、LAN 來進行切割, 與主機無關 !
http://0rz.tw/z5H58 <--- DMZ 入門
: 另外,外界的駭客,
: 是否有可能藉由侵入DMZ區的主機,再把狼爪伸入內部網域呢?
: 這樣的情況該如何防治?
防治的程度是要看你的架構而定,而通常最龜毛的架構,也是最不人性化的架構.
若是haker要攻擊,只要對外提供的服務有做好相關的防禦.
而對內提供的服務設定僅提供內部來進行存取.
若是以web服務而言 搭配 Reverse Proxy ! 就是個不錯的解決方案...
而內部若只有web需求,而其他服務都deny的話!
那 Transparent Proxy 是個不錯的選擇. http://0rz.tw/9j1YP <-以前隨手寫的
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.116.248.253
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):