DMZ - LAN和and服务器

Question

我知道DMZ应该包含一些服务器，它们作为可信区域(如LAN )和其他半信任或非信任区域(如internet或另一个DMZ )之间的中间点。

基于这个声明，我们的团队已经开始在我的Cop多网络中设计这些区域。我们也是一家移动运营商公司。

在DMZ中，我们将安装DNS、HTTP和SMTP服务器。现在，普通用户可以使用user服务器访问我们的网站，尽管他来自可信或不可信的地区。但与此同时，我们网站中的一些服务需要从移动的核心网络访问。我们担心这里的保安。我们是否应该把移动服务器放在另一个DMZ上。

我们考虑不把它放在DMZ中，但是我们将配置DNS将所有请求转发到这些服务到移动核心服务器中所需的服务器。我们将把这些服务器作为主域的子域，该域位于DMZ中的webserver中。

现在，当用户输入(例如: domain1.com )时，它将转到主when服务器，现在有一个链接需要我们移动到移动核心服务器，即Mobilee.domain1.com。

不把移动网络放入非军事区就能实现这一点吗？

我附上了一张照片，以更清楚地描述我们的想法，我希望你在这个问题上的建议。谢谢。

Answer 1

网络和安全设计总是归结为威胁的水平与努力的水平，或成本效益。

如果移动网络是由自己管理的，我认为没有理由通过管理另一个DMZ来使事情变得更加复杂。为什么不只有一个DMZ，所有的应用程序服务都可以在那里使用呢？它将从网络和安全的角度减少您的管理和故障排除开销。

如果移动网络不是由你自己管理的，你需要和管理它的人交谈，就像他们在提供服务一样，其他客户当然也有类似的需求--如果他们为你提供进入他们系统的特权，他们需要知道你向他们的方向发送的任何额外流量。