在一台Web服务器上在DMZ中打一个洞有多大的问题？

当前，我们的Web服务器位于DMZ中。Web服务器看不到内部网络中的任何内容，但是内部网络可以看到Web服务器。在DMZ和内部网络之间的防火墙上仅对Intranet中的一台Web服务器打一个洞有多安全？我们正在做的工作将与我们的多个后台应用程序（都位于一台服务器上）接口，如果我们可以直接与持有此数据的IBM i服务器进行通信，那么做这个项目会容易得多（通过网络服务）。

根据我的了解（我不知道品牌），我们为DMZ设置了一个防火墙，该防火墙的外部IP与使用另一个防火墙的主IP不同。另一个防火墙位于Web服务器和Intranet之间。

所以像这样：

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2

为实现预期的结果而必要时，为DMZ中的主机创建访问机制以访问受保护的网络中的主机没有错。这样做也许不是可取的，但有时这是完成工作的唯一方法。

要考虑的关键事项是：

• 将访问权限限制为可以使用的最特定的防火墙规则。如果可能，请指定规则中涉及的特定主机以及将使用的特定协议（TCP和/或UDP端口）。基本上，仅根据需要打开一个小孔。

• 请确保您正在记录从DMZ主机到受保护网络上的主机的访问，并在可能的情况下以自动化方式分析这些日志中是否存在异常。您想知道何时发生异常情况。

• 认识到您正在将内部主机（即使是间接方式）公开给Internet。紧跟要发布的软件和主机操作系统软件本身的补丁程序和更新。

• 如果您的应用程序体系结构可行，请考虑DMZ主机和内部主机之间的相互身份验证。很高兴知道到达内部主机的请求实际上来自DMZ主机。是否可以执行此操作将在很大程度上取决于您的应用程序体系结构。另外，请记住，即使拥有身份验证，“拥有” DMZ主机的人也可以向内部主机发出请求（因为他们将有效地成为DMZ主机）。

• 如果担心DoS攻击，请考虑使用速率限制来防止DMZ主机耗尽内部主机的资源。

• 您可能要考虑使用第7层“防火墙”方法，其中来自DMZ主机的请求首先传递到专用内部主机，该主机可以“清除”请求，进行健全性检查，然后将其传递给“真正的”后端主机。因为您正在谈论与IBM iSeries上的后台应用程序接口，所以我猜想您对iSeries本身上的传入请求执行健全性检查的能力有限。

如果您以一种有条不紊的方式进行研究并保持一些常识，那么就没有理由在保持风险最小化的同时不做您要描述的事情。

坦白说，您拥有的DMZ不能不受限制地访问受保护的网络，这使您跨越了我见过的许多网络。对于某些人来说，DMZ似乎仅意味着“防火墙上的另一个接口，可能具有一些不同的RFC 1918地址，并且基本上不受限制地访问Internet 和受保护的网络”。尽力保持DMZ处于锁定状态，同时仍然可以实现业务目标，并且会做得很好。

显然有一些危险，但是您可以做到。基本上，您正在打开一个针孔，有人可以通过，所以将其缩小。将其限制为仅位于任一端的服务器，并且仅允许所选端口上的数据。使用端口地址转换以仅使用奇异的端口不是一个坏主意。但是，默默无闻的安全根本不是安全。确保对方服务器上的任何设备都具有某种方式，可以检查通过该连接的信息是否真实真实……或者至少具有某种上下文感知防火墙。另外，对于这种事情有一定的防火墙...我知道Microsoft ISA对OWA和Exchange服务器也做同样的事情。