Мне интересно, сколько из вас, кто работает в КРУПНЫХ компаниях, имеют сетевую архитектуру, которая требует использования трех отдельных брандмауэров для доступа к данным. Другими словами:
Вкратце: Public-> Presentation-> Application-> Data (где каждая стрелка - это брандмауэр)
Вот моя проблема: я работаю в очень крупной американской компании (более 75 тыс. Сотрудников), где каждая среда имеет разное количество межсетевых экранов сегментации. Мы хотели стандартизировать нашу архитектуру межсетевого экрана, но:
Любой совет?
Это зависит от того, какие услуги вы предлагаете за пределами своей сети, а также от того, какой уровень безопасности вам нужен перед ключевыми услугами. Если у вас есть сайт электронной коммерции, который связан с серверной частью базы данных и обрабатывает кредитные карты, я мог бы легко увидеть, что требуются три уровня межсетевых экранов (чтобы соответствовать требованиям PCI, если ничто иное). Однако, если вы предлагаете простой статический контент через заблокированные веб-серверы, это может быть так же просто, как единый набор брандмауэров с внешним, внутренним и dmz-интерфейсом.
Может быть, еще немного подробностей о вашей настройке? http://www.sans.org содержит отличные документы, объясняющие глубокоэшелонированную защиту.