Я не разработчик приложений - начну с этой оговорки.
Вкратце; наша команда разработчиков попросила меня открыть серию портов от WAN до LAN, полностью минуя нашу DMZ. Они говорят, что это нормально, потому что их api сначала защищает соединение с двух веб-серверов в DMZ (используя diffie helman, но это уже другая история), но были немного не уверены, что наличие открытых портов из WAN в LAN может когда-либо быть безопасным - может ли кто-нибудь просветить меня жизнеспособность этого с точки зрения безопасности?
Разве конечный пользователь не должен всегда связываться с DMZ, а затем сервер внутри этой зоны осуществлять всю связь с любыми внутренними серверами?
Сама идея наличия зоны DMZ заключается в защите локальной сети от прямого доступа из Интернета. Это означает, что службы / серверы, которым для работы требуется доступ пользователя из Интернета (например, веб-сервер, сервер электронной почты и т. Д.), Помещаются в отдельную сеть и разрешают управляемый доступ извне. Наличие отдельного сегмента Netowrk (DMZ) позволяет применять различные политики межсетевого экрана для разных сегментов и управлять доступом от одного сегмента к другому. Это также делает возможным обширный мониторинг уязвимого сегмента, и в случае нарушения безопасности внутренние сегменты локальной сети могут оставаться в безопасности.
Следовательно, если в вашей организации уже есть сеть DMZ и политика, то новое предложение просто нарушает саму идею сегментации сети в целях безопасности и требует тщательной проверки. Возможно, альтернативным решением будет сохранение существующей сетевой архитектуры.