Die beiden sind funktional gleichwertig - die DMZ befindet sich effektiv in einem Sandwich, da Verbindungen von der Außenwelt durch eine Firewall geschützt sein müssen, aber auch Firewalls, die den Zugriff von dort auf das interne Netzwerk einschränken.

Während Das letztere Diagramm ist häufig das, was passiert (aus Kostengründen - Sie benötigen weniger Firewalls). Das erste wird als sicherer angesehen, da Sie zwei verschiedene Firewall-Marken verwenden können, um einen Angriff auf die Firewall zu vermeiden, der beide verletzt. Wenn Sie eine Firewall verwenden, verwenden Sie Regelsätze für jede Richtung und jede Verbindung - und funktional entspricht dies den Regelsätzen im zweiten Beispiel.

Dies ist nur eine geringfügige Verbesserung der Sicherheit. Im Allgemeinen greifen Sie die Firewalls nicht an. Sie verwenden die offenen Ports, um direkt durch den Webserver oder den Mailserver zu gehen oder sogar direkt durchzugehen, um die Datenbank anzugreifen. Sicherheitsebenen helfen jedoch.

Wie sollte eine DMZ in einer hochsicheren Netzwerkarchitektur platziert werden?

Der Schlüssel ist die Tiefenverteidigung zwischen Sicherheitsdomänen. Das Ausmaß der bereitgestellten Architektur hängt von den verfügbaren Ressourcen ab, einschließlich finanzieller Einschränkungen und technischer Fähigkeiten.

Tiefenverteidigung

Tiefenverteidigung ist eine Information Assurance (IA) -Konzept, bei dem mehrere Ebenen von Sicherheitskontrollen (Verteidigung) in einem IT-System (Information Technology) angeordnet sind. Es ist eine Schichtungstaktik, die die Konsequenz eines einzelnen Sicherheitskontrollfehlers auslöst. Wikipedia

Sicherheitsdomänen

Eine Sicherheitsdomäne ist der bestimmende Faktor bei der Klassifizierung einer Enklave von Servern / Computern. Ein Netzwerk mit einer anderen Sicherheitsdomäne wird von anderen Netzwerken getrennt gehalten. Wikipedia

Implementierung

Zum Bestimmen der Kontrollen zwischen Sicherheitsdomänen, die Sie definieren können; Das Internet als nicht vertrauenswürdig, die DMZ als halb vertrauenswürdig und interne Netzwerke als vertrauenswürdig.

Daher würden Sie mehrere Ebenen von Sicherheitskontrollen zwischen dem Internet und Ihrer DMZ anwenden, darunter: L3-Firewalls, IPS , AV, Reverse-Proxy / Load-Balancing, L7-Filterung.

Von den DMZ-Hosts zurück zu Ihrem internen Netzwerk würden Sie zusätzliche Schichten verwenden: L3-Firewalls, L7-Filterung (z. B. RPC) , IPS / AV.

Der Zugriff mit den geringsten Berechtigungen zwischen Sicherheitsdomänen ist auch der Schlüssel zur Maximierung der Wirksamkeit der Sicherheitskontrollen.

Ist die erste Darstellung unter Sicherheitsaspekten von OK view?

Ich würde nein raten, da es an Tiefenverteidigung mangelt. Es gibt nur eine einzige Zugriffskontrolle zwischen der Internet-DMZ und dem DMZ-LAN. In der Regel weist eine hochsichere Architektur eine Herstellertrennung und Ebenen von Zugriffskontrollen (L3 FW, WAF, IPS, AV usw.) auf.

Es gibt absolut keine absoluten Sicherheitsaspekte.

Aus Trainingssicht - ich würde sagen, das erste ist klarer. Es zeigt das Konzept, dass die Außenwelt diese verschiedenen Schichten durchläuft und dass es einfacher ist, die DMZ zu treffen, und dass das, was dort stationiert ist, vermutlich ein geringeres Risiko darstellt.

Es ist auch aus Sicht der geschichteten Verteidigung besser - wie gezeigt in anderen Antworten sehr schön.

Aber es ist unter Kostengesichtspunkten weniger praktisch. Und ich habe im unteren Diagramm viele, viele Varianten gesehen - alle Segmentierungsnetzwerke aus verschiedenen Gründen, die aus verschiedenen Kosten oder aus anderen praktischen Gründen versuchen, mit weniger mehr zu erreichen.

Ich glaube nicht, dass dies der Fall ist ein "richtiger Weg" oder ein "richtiges Diagramm". Zu den Faktoren gehören:

• Kompromiss zwischen Kosten und Risiko - mehrere Schichten von Firewalls mit verschiedenen Anbietern sind definitiv sicherer und auch teurer. Ein Muss für einen Betrieb mit hohem Wert und hohem Risiko. Overkill für einen Betrieb mit geringem Wert und geringem Risiko - da es nicht nur teuer zu kaufen, sondern auch zu warten ist und Sie den Faktor abwägen müssen, wie Menschen diese Dinge warten, und das Risiko von Lücken und Fehlkonfigurationen. Eine gut konfigurierte Firewall ist besser als zwei weit geöffnete Firewalls, da die Person, die sie konfiguriert hat, nicht genug wusste, um die Aufgabe richtig zu erledigen!

• Klarheit - Wie sieht das Netzwerk wirklich aus? Wenn es nur eine Firewall gibt, zeichnen Sie das Diagramm entsprechend. Lassen Sie die Leute nicht nach einer zweiten Firewall suchen. Es sei denn, Sie sprechen von einer logischen Schicht und nicht von einer physischen Schicht. In diesem Fall befinden sich möglicherweise beide "Wände" auf demselben Gerät. Der Sinn eines Diagramms besteht darin, Menschen dabei zu helfen, Dinge zu tun ... Ein Diagramm ist nur in Bezug auf seine Fähigkeit, dieses Bedürfnis zu erfüllen, "richtig" oder "falsch".

Ich würde sagen, wenn Ihr Chef behauptet, dass seine Zeichnung der absolut "richtige Weg" ist - er ist verrückt ... es gibt viele öffentliche Beispiele, um dem entgegenzuwirken.

Wenn es der klarste Weg ist, das zu beschreiben, mit dem Sie arbeiten, dann hat er Recht.

Ich werde einige Dinge wiederholen, die andere gesagt haben, aber hier ist es.

Zunächst würde ich darüber nachdenken, wie viel Sicherheit gewünscht wird , die Kosten dafür Erreichen Sie es und die Probleme, die auftreten, wenn etwas ausfällt und die Kommunikation zwischen der Sicherheitszone und dem Internet verloren geht.

Ihr Szenario sieht etwas ausgefeilter aus, weil es mehr Schichten aus der Dunkelheit gibt. Welt, bis Ihre geheimen Daten erreicht sind. Es erhöht aber auch die Kosten und es gibt mehr Fehlerquellen.

Das zweite Szenario ist genauso sicher wie die Firewall. Wenn die DMZ kompromittiert wird, ist es nicht einfacher anzugreifen, da sie durch die Firewall gehen muss und die Firewall der Widerstand in allen Konzepten ist.

Und sorry, aber wenn die Frage war Nur über "Welche ist richtig: zwei Firewalls oder eine einzige?" konnte ich keinen Hinweis finden, um darüber zu entscheiden.

Mir ist nicht klar, was Sie unter einer "hochsicheren Netzwerkarchitektur" verstehen. Sie müssten detaillierter überlegen, welche Sicherheitsziele Sie haben, welche Anforderungen an die Informationssicherheit gestellt werden und in welcher Bedrohungslandschaft Sie sich weiterentwickeln, um geeignete Sicherheitskontrollen zu entwerfen und zu implementieren.

Ich werde jedoch versuchen, Ihre Frage auf hoher Ebene zu beantworten .

Ja, die erste Sicherheitsarchitektur ist unter Sicherheitsgesichtspunkten im Allgemeinen in Ordnung. Es gibt Variationen dieser Architektur (z. B. befestigen Sie die DMZ an den externen und / oder internen Firewalls und / oder dazwischen), aber ich glaube nicht, dass dies für Ihre Frage in diesem Stadium relevant ist.

Mein Verständnis ist Diese Architektur war zu einer Zeit populärer, als Firewalls mehrere bekannte öffentliche Schwachstellen in ihrer Implementierung aufwiesen, die es ermöglichten, die Firewalls selbst zu umgehen oder sogar auszunutzen, und ohne andere mildernde Kontrollen.

Bei Verwendung einer anderen Implementierung Für Ihre externen und internen Firewalls wenden Sie lediglich das Prinzip der natürlichen Auswahl Ihrer Architektur an, und dies ist im Allgemeinen eine gute Sache: Wenn eine Implementierung für einen bestimmten Angriff anfällig ist, funktioniert derselbe Angriff möglicherweise nicht für eine andere Implementierung, wenn ihre jeweiligen Merkmale nicht ähnlich genug sind. Hoffentlich entfernen Sie einen einzelnen Punkt (aus Sicht der Implementierung) der "Firewall-Sicherheitsfunktion".

Abhängig von Ihren Anforderungen an die Verfügbarkeit von Informationen müssen Sie möglicherweise unter anderem das Clustering Ihrer externen und internen Firewalls in Betracht ziehen Dinge.

Die zweite Architektur ist auch aus Sicherheitsgründen gültig und ich glaube, sie ist jetzt beliebter als die erste (Kostenhilfe). Sie haben einen potenziellen Single Point of Failure der Firewall-Sicherheitsfunktion. Die meisten Unternehmen hätten jedoch (hoffentlich) inzwischen erkannt, dass Sie sich nicht nur auf Ihre Firewall verlassen können, um Sicherheitsdienste bereitzustellen. Router / Switches / Host-Firewalls / etc. können alle tragen zur Sicherheitslage eines Unternehmens bei und mindern so den gesamten Schaden, der durch den Kompromiss einer (einzelnen) Firewall-Implementierung verursacht wird. Es scheint auch, dass Firewalls heutzutage etwas solider sind und dass sich Angriffe auf höhere, aber weichere OSI-Ebenen verlagert haben. Anwendungen.

Ich würde die zweite Architektur für die meisten Bereitstellungen in Betracht ziehen. Ich kann die erste Architektur unter bestimmten Umständen in Betracht ziehen, einschließlich, aber nicht beschränkt auf Sicherheitsziele und -anforderungen, die Motivation potenzieller Angreifer und vor allem Ressourcen.

Das Risiko ist im ersten Diagramm bei weitem viel schlimmer. Machen Sie einen Schritt zurück und lesen Sie über militärische DMZs. Sie sind im Grunde Orte, an denen Sie Dinge platzieren, die Sie nicht schützen möchten. Es ist zunächst eine schlechte Terminologie und eine veraltete Idee in der IT. Angenommen, Sie haben eine viel größere Umgebung mit unterschiedlichen Sicherheitsstufen. Sie können nicht alle Daten in eine Zone werfen (geschweige denn, Ihr mit Malware infizierter LAN-Verkehrspilfer hat dies gedacht). Sie benötigen mehrere Sicherheitszonen (mehrere DMZs, wenn Sie diesem Begriff zugeordnet sind, nenne ich sie sichere Segmente). Wie würden Sie beispielsweise jedem der obigen Diagramme 20 verschiedene Sicherheitszonen hinzufügen? Fügen Sie sie entsprechend ihrer Sicherheitsstufe weiter in Serie hinzu? oder nach Bedarf parallel hinzufügen? Der Grund, warum die meisten modernen Firewalls mehrere Schnittstellen haben (einige große haben bis zu 100 Schnittstellen), ist, dass wir parallel sichere Subnetze hinzufügen. In einer Hochsicherheitsumgebung haben Sie möglicherweise separate Sicherheitszonen für Webserver im Vergleich zu DNS-Servern im Vergleich zu Mailservern usw. Auf diese Weise hat der Angreifer, wenn Ihre Webserver in Besitz genommen werden, keinen zusätzlichen Grund gewonnen, Ihren Mailserver oder irgendetwas anderes zu gefährden . Wenn Sie ein Dienstanbieter sind, der ein Dutzend zusammengestellte Clients hostet, können Sie jeden hinter eine andere Schnittstelle stellen, damit sie sich nicht gegenseitig angreifen (oder Würmer verbreiten), anders als über das Internet. Stöbern Sie auf einigen Websites großer Anbieter (Cisco & Juniper) und lesen Sie die Dokumentation zu den größeren Firewalls und die Anzahl der von ihnen unterstützten Schnittstellen. Sie möchten weiterhin interne Firewalls und Web Application Firewalls (WAFs) wie Imperva (oder mod_security-Proxys), aber auch diese internen Bereiche müssen segmentiert und unterteilt werden. Das alte Sandwich-Diagramm (IT-Architektur der 70er bis 80er Jahre) ist in Bezug auf die Sicherheit ein großer Fehler und muss entfernt werden.

Ja, zusätzlich zur vorherigen Antwort könnte ich ein IPS hinzufügen, um Angriffe zu blockieren, die die Firewall nicht abfangen würde, da diese Angriffe auf die offenen Ports abzielen würden.

Ihr Chef hat Recht.

Die erste Darstellung weist viele Probleme oder Schwächen auf.

1. HA (Hochverfügbarkeit): Sie benötigen 4 FW (2 externe und 2 Interna) = $$$
2. Verwaltung: 'Wird als sicherer angesehen, da Sie zwei verschiedene Firewall-Marken verwenden können' ... viel Verwaltungsaufwand (Aktualisierung, Regeln, Protokollierung, Lizenzierung). Wenn Sie Ihrer FW nicht vertrauen können und eine andere von einem anderen Hersteller benötigen, haben Sie ein Problem !!!
3. IP: Dieses Design kann ein Albtraum mit Natting, Routing usw. sein.
4. Risiko: In diesem Design ist ein kompromittierter DMZ-Host ein guter Ort zum Schnüffeln und Man-in-the-Middle-Angriff gegen Benutzer in der LAN-Zone.
ol>

In Wirklichkeit Das zweite Design ist sicherer und einfacher als das erste.

1. HA (Hochverfügbarkeit): Sie benötigen nur eine weitere FW.
2. Verwaltung: Nur eine Box zum Verwalten
3. IP: Einzelpunkt zum Verwalten des Verkehrs für das Routing oder Nating
4. Risiko: Wenn ein Host in der DMZ gefährdet ist, ist diese Bedrohung in der DMZ enthalten.
ol>

Dies hängt von der Art der Netzwerkarchitektur Ihres Gebäudes ab.

Das erste Beispiel ist ideal für Situationen wie das Hosten einer großen Web-App, mit der Sie die Sicherheit in Ihren Ebenen aufbauen, also Balancer Tier, App Schicht, Datenschicht, jede Firewall durch unterschiedliche Sicherheitsmaßnahmen abgeschaltet, aber in eigenen vertrauenswürdigen Netzwerken arbeiten.

Im zweiten Beispiel genau so, wie es beschrieben wird, hängt ein LAN daran. Diese Option ist auch ideal für Situationen, in denen Sie den Datenverkehr so ​​gestalten müssen, dass die QoS gewährleistet ist.

Um Ihre Frage zu beantworten, sind beide gültig und beide haben ihre eigenen Vorteile. Es gibt keine einzige Silberkugel .

Die meisten Firewall-Ingenieure haben meistens das zweite Diagrammmodell bereitgestellt, da eine Reihe von Firewalls kostengünstiger und die Konfiguration von & einfacher zu konfigurieren ist. Sie können jeden Port in der Firewall für die physische Verbindung nach außen, innen und zu jeder DMZ verwenden oder Multi-Context (ähnlich wie VM) verwenden, um Umgebungen virtuell zu trennen. Wir verwenden das 2. Modell in unseren kleineren Rechenzentren und das 1. Modell mit Multi-FW in unseren Unternehmens-Rechenzentren. Auditoren lieben das 1. Modell für Unternehmensstandorte, da eine falsch konfigurierte Regel im 2. Modell dazu führen kann, dass ein Angreifer, der die Kontrolle über Ihren DMZ-Server übernommen hat, möglicherweise die Kontrolle über Ihr Netzwerk erlangt. Dies ist beim ersten Modell viel schwieriger, da ein Angreifer zwei Firewalls durchlaufen muss, um ins Innere zu gelangen. Ein Firewall-Administrator macht möglicherweise einen Fehler beim Testen auf einer Firewall, jedoch nicht auf zwei (normalerweise). Wir haben letzte Woche gerade mehrere Firewalls bereitgestellt. Wenn Firewalls im Internet eine Verbindung zu mehreren DMZ- und Load Balancern herstellen ... und innerhalb von Firewalls eine Verbindung zu denselben DMZ / Load Balancern hergestellt wird. Auch die 2nd / Inside-Firewall verfügt über einen Multi-Kontext im Inneren. Dies bietet eine Firewall zwischen WAN, Produktion und keiner Produktionsumgebung ... in der Produktionsserver auf alles zugreifen können, WAN jedoch über www und https (usw.) auf Produktionsserver zugreifen oder Administratoren den RDP-Zugriff auf Produktions- und DEV / QA-Server ermöglichen kann in der Firewall.

Die Antwort auf die Frage, welches der beiden Designs "richtig" ist, kann nur auf den Anforderungen basieren, die an die zu entwerfende Lösung gestellt werden. Als solche haben beide Modelle Vor- und Nachteile, aber es kommt wirklich auf ZWEI PRIMÄR UNTERSCHIEDLICHE GESCHÄFTSTREIBER an:

Wenn das Unternehmen Anforderungen mit Aussagen wie:

"Wir brauchen ein Internet / DMZ-Sicherheitsdesign, das ...
* kostengünstig, kostengünstigste, grundlegende, einfache Design, einfach zu verwalten, billig & schmutzig, angemessener Schutz ... * etc. "

Dann ist die 3-LEGGED FW (Beispiel 2) das Modell, das Sie als Grundlage für Ihr Design verwenden sollten. Und in einer Welt, in der "SAVE $$$" "Reduce Costs" häufig die Haupttreiber sind, ist dies der Hauptfaktor, warum das 3-LEGGED FW Design bei weitem die beliebteste Bereitstellung ist - selbst für größere Unternehmen. P. >

Wenn das Unternehmen Anforderungen mit folgenden Aussagen stellt:

"Wir benötigen ein Internet- / DMZ-Sicherheitsdesign, das ...
hoch / extrem sicher ist und das beste Internet bietet Schutz unabhängig von den Kosten, Schutz unserer internen Unternehmenssysteme sind ein MUSS ... usw. "

Dann das Modell FW-Sandwich / 2-Teir FW / Layered DMZ (Beispiel 1) ist diejenige, die Sie als Basis für Ihr Design verwenden sollten. Der Grund ist extrem einfach ... Die mehrschichtige DMZ-Sicherheit fügt dem Internet-Hacker zusätzliche einzigartige Eintrittsbarrieren hinzu. Wenn er die erste FW übersteht, landet er auf der nächsten und der nächsten Ebene und dann auf der internen FW des Backends, bevor er endlich zu den Kronjuwelen der Unternehmensdaten gelangt. Das 3-LEGGED FW-Modell ist eine Schutzschicht. Wenn eine schlecht / falsch konfigurierte FW gefährdet ist, hat sie direkten Zugriff auf das interne Netzwerk. SCHLECHT!

Meine früheren Entwürfe sind komplexer als eine vordere und hintere FW. In einem extrem hochsicheren ISP / DMZ-Design habe ich FW, IPS, Front-VIP-Netzwerk, DMZ-VIP-Load-Balancer, Private Farm-Netzwerke und dann die Back-End-FWs mit interner Ausrichtung entworfen. Jede dieser Schichten fügt dem Hacker eine einzigartige zusätzliche Eintrittsbarriere hinzu. Wir legen auch strenge Entwurfsregeln fest, die besagen, dass "eine Ebene im Entwurf nur mit der nächsten Ebene sprechen und diese Ebene nicht als Verknüpfung umgehen darf"

Dieser Entwurf ist sicherlich teurer, aber für große Unternehmen, bei denen Bank-, Finanz-, große Datenbanken mit Kundeninformationen usw. MÜSSEN GESCHÜTZT WERDEN. Es wäre dumm, eine dreibeinige FW zu verwenden, die sie zur einzigen Barriere zwischen den Hackern und diesen Kronjuwelen macht.

First option is wrong because you will turn the firewall into a router, and firewalls should not be routers. Second option is good, but you can add that second firewall to the internet, but keep the DMZ on the internal Firewall.

DC