日常工作中,筆者常在許多環境裡協助解決問題與安全防護,其中不免會碰
到許多問題,也可能與管理者有不同的看法。
這時為了達到心目中認為的安全,總會與管理者經過一番激烈的討論。這些
有趣的討論與經驗對筆者而言非常寶貴,茲整理出六大問題,有管理上不同
的觀念、也有解決問題的方法,分享給也在管理
Firewall
的您。
一、
Al low DMZ to WAN
Any
不對嗎?
試著將這個問題與不同管理者討
論後,很意外得到最多的答案竟是筆
者答案選項
(
贊成或不贊成
)
以外的
第三個答案
:
1.
有差嗎?
這個答案的管理者認為
DMZ
Internet
的使用者來存取,開不開
Port
讓它出去沒有差異。但是,當他
們了解
Server
也有出
Internet
的需
求時,他們會選出下面兩個答案之一。
2.
贊成開
ANY
這個答案的管理者認為
Server
是信任的主機,這都是由單位內部
專業的系統人員所建置與管理,內
部網路的一般使用者上網時都開
To
Internet Allow ANY
了,更何況放
DMZ
有專人管理的主機當然也是
ANY
而且每一台主機要用什麼服
務、什麼
Port
Internet
系統團
隊的人不會向網管報告。
Firewall
管理的
6
大問題
蔡和燁
所以贊成開
ANY
一方面是信任
DMZ
主機,另一方面認為不需要把
Firewall
的管理變複雜。
3.
不贊成開
ANY
這 個 答 案 的 管 理 者 認 為, 在
Firewall
的管理上不可能出現任何一
個方向開啟
ANY IP
ANY PORT
DMZ
來說,能夠在
DMZ
區域先
Deny to WAN ANY
是最過癮的
事,所謂的過癮不是因為系統
Team
要申請開
Port
的掌權過癮,而是假
設開大門的
Server
被駭客佔領了,
駭客卻被我們困在
DMZ
裡,哪裡也
去不了的過癮。
所以不贊成開
ANY
主要是不希
望這困住駭客的權力輕易放手,如果
系統
Team
來申請開
Port
內心其
實都在淌血。
Firewall
的 管 理 上, 建 議
您把這個能困住駭客的權力抓住,
Firewall
設置
DMZ
區最妙的就是能
管控它的去向,讓它不能進到內網,
197
Technology Forum 2015
雲端
資料
BYOD
與資
網路