我的客户的网络安全人员正在DMZ中设置他们的新网站以确保安全。这对我来说很有意义。但是,她接着说,这是公司员工无法在内部访问网站的最佳做法。例如,要检查网站是否已启动,她建议他们使用手机。
这是新事吗?它甚至有意义吗?我以前从未听说过不允许公司员工通过内部网络访问公司网站。我不是安全人员,我是开发人员,所以如果钱是对的,请告诉我,这对我来说似乎不寻常。
这是公司现在正在实施的最佳做法吗?这是建议的方式吗?
非常感谢任何信息。我只是感到困惑,有点惊呆了。
谢谢!
答案 0 :(得分:0)
他们应该阻止来自内部网络的Windows域,目录服务和未使用的端口,但应该允许必要的Web端口进行管理。 dmz的目的是保护您的内部网络免受公共服务器的影响,而不是相反。您不应该让网络安全人员认为风险太低,无法证明从外部监控服务器所带来的额外成本。如果您的安全人员有任何网络安全经验,他会知道这是标准做法。如果没有,请将其交给管理层并告诉他们您需要支付另一个互联网连接以监控您的服务器或要求安全人员在其防火墙中更改1个访问列表。
答案 1 :(得分:0)
DMZ中的计算机无法“连接”到内部网络中的任何计算机。内部网络中的计算机始终可以连接到DMZ中的计算机。 通常,员工可以访问在DMZ中运行的网站(和其他服务),因此没有理由限制员工连接到您自己的DMZ机器。
所以回答你的问题:
这是公司现在正在实施的最佳做法吗?
否
这是建议的方式吗?
这并不会让你更安全。
如果此限制背后的基本原理是防止内部机器被您自己的网站分发的恶意软件感染,那么它如何比被随机网站分发的恶意软件感染更安全。