امنیت DMZ

[nkm]

راه کار اصولی برای امن سازی حوزه سرور ها چیست؟

من خودم یه چند تا راه پیدا کردم ولی می خوام بدونم راه اصولی چیه

چیزایی که به ذهن من رسیده اینه:

استفاده از رنج متفاوت از کلاسی متفاوت از شبکه داخلی
استفاده از PortForwarding
استفاده از DesNat
استفاده از اکسس لیست برای دسترسی به سرورها
و ...

هر کدام مشکلات خاص خودشون را دارن
مثلا استفاده از DestNat مبدا را مخفی میکنه و ....
راه حل درست و اصولی چیست؟

---

موضوعات مشابه:

• تعریف کاربر با دسترسی زمانی ماهانه و حجم 100 مگا بایت روزانه و سرعت 128 کیلوبایت
• ابزار های مدیریت ریسک در مدیریت امنیت اطلاعات چیست؟
• نحوه حذف محدودیت های ایجاد شده از طرف ادمین در آنتی ویروس سیمانتک (نظیر : محدودیت فلش ، بلوتوث)
• آموزش حذف کردن سایت های تبلیغات و سایت های مزاحم و اسپم از نتایج جستجوی گوگل

---

[ARM]

Dual firewalls

A more secure approach is to use two firewalls to create a DMZ. The first firewall (also called the "front-end" firewall) must be configured to allow traffic destined to the DMZ only. The second firewall (also called "back-end" firewall) allows only traffic from the DMZ to the internal network. The first firewall handles a much larger amount of traffic than the second firewall.
Some recommend that the two firewalls be provided by two different vendors. If an attacker manages to break through the first firewall, it will take more time to break through the second one if it is made by a different vendor. (This architecture is, of course, more costly.) The practice of using different firewalls from different vendors is sometimes described as either "defense in depth" or (from an opposing viewpoint) "security through obscurity".

[nkm]

ممنون علیرضا جان
این سناریو هم من دیدم
شاید به درد دوستان بخوره
Cisco ASA 5500 Getting Started Guide, 8.0 - Scenario - DMZ Configuration

[nkm]

یه مشکل دیگه
یک سرور دارم که باید از طریق اینترنت بهش دسترسی پیدا کنن و چون مهم هست مجبور به تهیه 2تا لینک اینترنت با 2تا رنج مختلف از 2تا ISDP متفاوت شدم
در DNS هم 2تا HOST اضافه کردم با یک نام و 2تا IP مختلف مربوطه
در اکثر راهکارهای فایروالی پیشنهاد میشه که از Port Forward استفاده بشه
اگر بخواهم برای این کار از این روش استفاده کنم، مجبورم 2تا روت در سویچ اصلی بنویسم، که یکی به فایروال لینک A بده و یکی به فایروال لینک B
در این حالت اگر اشتباه نکنم هر پاکتی را ترتیبی از یکی از 2تا لینک بر میگردونه
و باز هم اگر اشتباه نکنم اگر پاسخ با IP درخواست یکی نباشه پک دراپ میشه

راه حل چیه؟؟؟میخوام درخواست از هر لینک آمد از همون لینک جواب داده بشه

[al1p0ur]

ساختار شبکتون رو نمیدونم ولی علی الحساب این روش رو پیشنهاد میکنم:
یه لود بالانسر بخرید و دو خط رو بزنید بهش .
از اون یه لینک به فایروال بزنید .
فایروالتون هم که به DMZ وصله .
بعد روی فایروال سرورتون رو publish کنید یا از port forwarding استفاده کنید .
و سرور هاتون هم ظاهرا در DMZ هستند .
اینجوری هم امنه هم مطمئن .