我客户的网络安全人员正在 DMZ 中建立他们的新网站以确保安全。这对我来说完全有意义。然而,她接着说,公司员工无法在内部访问该网站是最佳做法。例如,为了检查网站是否正常运行,她建议他们使用手机。
这是新事物吗?它甚至有意义吗?我以前从未听说过不允许公司员工通过内部网络访问公司网站。我不是安全人员,我是开发人员,所以如果这在金钱上是正确的,请告诉我,这对我来说似乎很不寻常。
这是公司现在正在实施的最佳实践吗?这是建议的方式吗?
非常感谢任何信息。我只是感到困惑和震惊。
谢谢!
问问题
497 次
2 回答
0
他们应该阻止来自内部网络的 Windows 域、目录服务和未使用的端口,但应该允许必要的 Web 端口进行管理。dmz 的目的是保护您的内部网络免受公共服务器的攻击,而不是相反。您不应该让网络安全人员认为风险太低而无法证明与从外部监控服务器相关的额外成本是合理的。如果您的安全人员在网络安全方面有任何经验,他就会知道这是标准做法。如果没有,请将其交给管理层并告诉他们您需要他们支付另一个互联网连接以监控您的服务器或要求安全人员在他的防火墙中更改 1 个访问列表。
于 2012-02-06T19:35:07.657 回答
0
DMZ 中的机器不应该能够“连接”到您内部网络中的任何机器。来自您内部网络的机器始终可以连接到 DMZ 中的机器。一般来说,员工可以访问在 DMZ 中运行的网站(和其他服务),因此您没有理由限制员工连接到您自己的 DMZ 机器。
所以回答你的问题:这是公司现在正在实施的最佳实践吗?
不
这是建议的方式吗?
这不会让你更安全。如果此限制背后的基本原理是防止您自己的网站分发的恶意软件可能感染内部机器,那么它比被随机网站分发的恶意软件感染更安全。
于 2012-02-06T22:03:37.033 回答