api conectando da WAN à LAN?

1

Eu não sou um desenvolvedor de aplicativos - vou começar com essa ressalva.

Em resumo; Nossa equipe de desenvolvimento pediu que eu abrisse uma série de portas da WAN para a LAN ignorando completamente a nossa DMZ. Eles dizem que isso é bom porque sua API assegura a conexão primeiro de dois servidores web na DMZ (usando diffie helman, mas isso é outra história), mas não tem certeza se ter portas abertas da WAN para a LAN pode ser seguro - alguém pode me esclarecer? a viabilidade disso do ponto de vista de segurança?

O usuário final não deve sempre se comunicar com a DMZ e, em seguida, um servidor dentro dela fará toda a comunicação com algum servidor interno?

    
por Dan 01.03.2016 / 10:01

1 resposta

1

A idéia de ter uma zona DMZ é proteger a LAN do acesso direto da Internet. O que significa que os serviços / servidores que requerem acesso do usuário da Internet para funcionar (como Webserver, E-Mail Server etc.) são colocados em uma rede separada e permitido acesso controlado de fora. Ter um segmento separado do Netowrk (DMZ) possibilita a aplicação de diferentes políticas de firewall para diferentes segmentos e o controle de acesso de um segmento para o outro. Isso também possibilita um monitoramento extensivo do segmento vulnerável e, no caso de uma violação de segurança, os segmentos internos da LAN podem permanecer seguros.

Portanto, se a sua organização já tiver uma rede DMZ e uma política em vigor, a nova proposta apenas violará a ideia de ter segmentação de rede para segurança e precisa ser rigorosamente analisada. Pode ser uma solução alternativa, mantendo a arquitetura de rede existente é possível.

    
por 01.03.2016 / 11:18