Maximierung der Sicherheit - DMZ-fähiger WAN-Failover

421
Robert Tan

Kontext: 20-Personen-Shop. Internetverfügbarkeit ist kritisch. Die Lösung besteht darin, den LTE-Dienst zum Sichern des Haupt-Internetdienstes zu verwenden. Siehe Diagramm 1 in Anlage 1.

Problem: Das System funktioniert (die Verbindung schlägt zu LTE fehl und die primäre Verbindung ist nicht stabil, wenn die Primärdatenbank stabil ist). Ich vermute jedoch, dass die Verwendung der DMZ (um diese Funktion auszuführen) Sicherheitsrisiken birgt.

Frage: Gibt es ein "besseres" Setup? Oder ist die Besorgnis über DMZ-bezogene Themen in diesem System unerheblich?

Anlage 1 - Netzwerkdiagramm: Maximierung der Sicherheit - DMZ-fähiger WAN-Failover

0
Wenn der ASUS richtig eingerichtet ist, ist DMZ normalerweise der richtige Weg. Dies ist ein System, das ich selbst einrichten könnte. Mach dir keine Sorgen darüber. LPChip vor 7 Jahren 0
@LPChip Warum aus "Neugier" ein "könnte" und kein "würde"? Robert Tan vor 7 Jahren 0
Normalerweise benötigen Sie für LTE keine speziellen Port-Forwarder. Es ist nur ein Backup-System und Sie möchten, dass die Ausfallzeiten so kurz wie möglich sind. Daher würde ich mich wahrscheinlich dafür entscheiden, dass es mit Ports fehlschlägt und nur Internet zur Verfügung stellt, damit wir die regelmäßige Verbindung so schnell wie möglich einrichten können. Wenn der Fernzugriff jedoch ein kritischer Punkt ist, wird DMZ bevorzugt. LPChip vor 7 Jahren 0

1 Antwort auf die Frage

2
Twisty Impersonator

Die Verwendung der DMZ-Zone bringt keine Sicherheitsrisiken mit sich, solange Ihre Firewall-Regeln zwischen der DMZ und Ihren vertrauenswürdigen Zonen nicht lascher sind als die Ihrer WAN-Zone.

Allerdings wäre es wünschenswert, beide WAN-Verbindungen in der WAN-Zone zu haben, um die Regelverwaltung zu vereinfachen. Ansonsten müssen Sie alle Regeln, die Sie für die WAN-Zone ändern, auch (redundant) für die DMZ-Zone ausführen.

Um zu verdeutlichen, dass beide in derselben WAN-Zone sind, impliziert die Integration eines 2-in-1-Modems anstelle der beiden WAN-Modems? Und danke, ich werde mit der Überprüfung unserer Firewall-Konfiguration in ASUS beginnen. Robert Tan vor 7 Jahren 0
Nein, normalerweise können Sie mehrere Schnittstellen (in Ihrem Fall die Schnittstellen, die Ihre zwei Modems verbinden) derselben Sicherheitszone zuweisen. Nun, wenn Ihr Router das einfach nicht erlaubt, dann, und Sie müssen die WAN- und DMZ-Zonen verwenden. In diesem Fall müssen Sie jedoch sicherstellen, dass die Firewall-Regeln für die LAN-Zone für diese Zonen identisch konfiguriert sind. Twisty Impersonator vor 7 Jahren 0
Ich glaube, das eingebaute Dual-Wan-Feature von ASUS führt beide WANs durch dieselbe (eigene) Firewall (da ich keine Optionen für Sicherheitszonen sehe). Dadurch sind wir in Ordnung Robert Tan vor 7 Jahren 1
@RobertTan Ausgezeichnet. Gut zu wissen für dieses Gerät. Twisty Impersonator vor 7 Jahren 0