Мы думаем о переводе нашего корпоративного веб-сайта с внешнего хостинга и разработки на внутренний сервер WordPress. Это позволяет нам поддерживать прямой контроль, а также проводить собственный анализ трафика.
В настоящее время мы используем брандмауэр Checkpoint с довольно строгими политиками и без DMZ. Насколько безопасно было бы поддерживать сервер WordPress и разрешать доступ к нему только по протоколам HTTP, HTTPS из внешних источников? Сервер будет виртуализирован в том же кластере, что и остальные наши внутренние серверы.
С другой стороны, будет ли этот сценарий даже считаться DMZ?
будет ли этот сценарий рассматриваться как DMZ?
Да. Открывая внутреннюю службу для внешнего мира, всегда рекомендуется защитить внутренние службы других пользователей, поместив эту общедоступную службу в демилитаризованную зону. По сути, эта DMZ будет новым сегментом сети, маршрутизируемым через специальный интерфейс межсетевого экрана.
В случае одного брандмауэра вам потребуется три интерфейса в вашем брандмауэре:
Ваш сервер WordPress будет подключен к интерфейсу DMZ. Для этого вам нужно будет создать новый VLan в вашей сети, где вы разместите свой сервер. Шлюзом по умолчанию для этой VLan должен быть IP-адрес интерфейса DMZ вашего межсетевого экрана.
Допустим, этот VLan - 192.168.1.0/24, ваш IP-адрес интерфейса DMZ будет, например, 192.168.1.1, а IP-адрес вашего сервера будет, например, 192.168.1.10.
http://en.wikipedia.org/wiki/DMZ_%28computing%29#Single_firewall
Вам нужно будет расширить эту VLan на вашу виртуализированную инфраструктуру, чтобы иметь возможность подключить свой сервер к этой VLan.
Затем просто используйте брандмауэр для DNAT трафика http / https с общедоступного IP-адреса на ваш сервер.
Таким образом, вы просто разрешаете трафик от интерфейса WAN к интерфейсу DMZ, так что локальная сеть не может быть скомпрометирована.