Максимизация безопасности - DMZ включен WAN отказоустойчивости

291
Robert Tan

Контекст: магазин на 20 человек. Интернет безотказной работы имеет решающее значение. Решение заключается в использовании услуги LTE для резервного копирования основного интернет-сервиса. Пожалуйста, см. Приложение 1 для диаграммы.

Проблема: Система работает (соединение переходит к LTE и возвращается к первичному, если первичное стабильно), но я подозреваю, что использование DMZ (для этой работы) создает риски для безопасности.

Вопрос: есть "лучшая" настройка? Или беспокойство по поводу связанных с DMZ вопросов несущественно в этой системе?

Приложение 1 - Схема сети: enter image description here

0
Если ASUS настроен правильно, DMZ, как правило, путь. Так что это система, которую я мог бы настроить сам. Не беспокойся об этом. LPChip 7 лет назад 0
@LPChip Из любопытства, почему «мог», а не «хотел бы»? Robert Tan 7 лет назад 0
Обычно для LTE вам не нужны специальные перенаправители портов. Это только система резервного копирования, и вы хотите, чтобы время простоя было как можно более коротким. Поэтому я бы предпочел сделать так, чтобы он не работал с портами и обеспечить только интернет, чтобы мы могли как можно быстрее установить обычное соединение. Но если удаленный доступ является частью критического, то DMZ является предпочтительным. LPChip 7 лет назад 0

1 ответ на вопрос

2
Twisty Impersonator

Использование зоны DMZ не представляет угрозы для безопасности, если правила межсетевого экрана между DMZ и доверенными зонами не более слабые, чем в вашей зоне WAN.

Тем не менее, было бы предпочтительно иметь оба канала WAN в зоне WAN, чтобы упростить управление правилами. В противном случае любые правила, которые вы изменяете для зоны WAN, вы должны также сделать (избыточно) для зоны DMZ.

Чтобы уточнить, наличие обоих в одной зоне WAN предполагает интеграцию модема 2-в-1 вместо двух модемов WAN? И спасибо, я начну обзор нашей конфигурации брандмауэра в ASUS. Robert Tan 7 лет назад 0
Нет, обычно вы можете назначить несколько интерфейсов (в вашем случае, эти интерфейсы, соединяющие два ваших модема) одной и той же зоне безопасности. Теперь, если ваш маршрутизатор просто не разрешает это, тои вы должны использовать зоны WAN и DMZ, но в этом случае вы должны убедиться, что правила брандмауэра в / из зоны LAN настроены одинаково для обеих этих зон. Twisty Impersonator 7 лет назад 0
Я считаю, что встроенная функция ASUS Dual WAN направляет обе глобальные сети через один и тот же (свой собственный) брандмауэр (поскольку я не вижу опций в отношении зон безопасности), поэтому мы в порядке. Robert Tan 7 лет назад 1
@RobertTan Отлично. Полезно знать об этом устройстве. Twisty Impersonator 7 лет назад 0

Похожие вопросы