作者 主題: DMZ 與 Intranet 間的問題  (閱讀 5236 次)

0 會員 與 1 訪客 正在閱讀本文。

Dino9021

  • SA 苦力組
  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
DMZ 與 Intranet 間的問題
« 於: 2007-06-21 13:27 »
小弟有一事向各位前輩請教

公司使用 Cisco Pix 515E 防火牆,規劃 Internet、Intranet、DMZ 三個區域
其中, Intranet 與 DMZ 之間,File and Printer Sharing for Microsoft Networks 的通訊是可以流通的
Intranet 可經由 \\DMZ-IP 的方式連到 DMZ 的電腦
DMZ 也可經由 \\Intranet-IP 的方式連到 Intranet 的電腦

請問這樣的設定是否常見?
若 DMZ 某主機中毒是否會經由此方式傳染給 Intranet 的電腦?
若有駭客進入 DMZ,是否因此可以很方便地進入 Intranet?

(昨天剛考完 M$ 70-293,成績單中 Security 項目幾乎接近零蛋....>"<)
雖然我不是什麼厲害的前輩, 但除了私人問題外我不接受私人訊息問技術問題
好的/有用的資訊公開讓所有人都能知道是最好的
另外, 發問請詳述問題/Log/你曾經進行的嘗試以及結果
請先參考 http://phorum.study-area.org/index.php/topic,24128.0.html

phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
DMZ 與 Intranet 間的問題
« 回覆 #1 於: 2007-06-21 13:33 »
DMZ... 不是應該是... Internet 可以到
Intranet 可以到
但是 DMZ 不能連 Intranet 嗎?

您這樣一來,DMZ 是裝飾用的吧...
XD
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
DMZ 與 Intranet 間的問題
« 回覆 #2 於: 2007-06-21 14:06 »
Intranet --> DMZ OK 拉... 由高到低 ..通常是不管制 ...開 access list  的...

DMZ --> Intranet 則要管制 ....

Internet --> DMZ 開 Port 管制 ..
Networking & Communication Security SE

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
DMZ 與 Intranet 間的問題
« 回覆 #3 於: 2007-06-21 14:39 »
DMZ 主動連進 intranet 是不安全的。
如果需要跟 intranet 交換資訊,往往是由 intranet 主動連線。

Dino9021

  • SA 苦力組
  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
DMZ 與 Intranet 間的問題
« 回覆 #4 於: 2007-06-21 14:54 »
謝謝...
果然這樣是有問題的...
古時候公司還把一個 RAID5 掛在 DMZ 的 Mail Server 上
然後從 Intranet 錄音存到這個 RAID5 上面...(三個錄音室錄 MP2 的檔案即時存入...)

Pix 撐得住這樣的流量也真了不起
古時候這樣規劃的人心臟也真強...

我已經改成一台 NAS 在 Intranet 裡

謝謝各位的指教
雖然我不是什麼厲害的前輩, 但除了私人問題外我不接受私人訊息問技術問題
好的/有用的資訊公開讓所有人都能知道是最好的
另外, 發問請詳述問題/Log/你曾經進行的嘗試以及結果
請先參考 http://phorum.study-area.org/index.php/topic,24128.0.html

Dino9021

  • SA 苦力組
  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
DMZ 與 Intranet 間的問題
« 回覆 #5 於: 2007-06-22 09:10 »
想再請教各位先進
我在 Pix 的 Config 中應該注意哪些關鍵字是跟上述 DMZ 可進 Intranet 有關的設定呢?

DMZ 是 192.168.0.0/24
Intranet 是 10.1.1.0/24

這行是嗎?

access-list inacl permit ip 10.1.1.0 255.255.255.0 192.168.0.0 255.255.255.0

是否用 no 取消掉就好了呢?
雖然我不是什麼厲害的前輩, 但除了私人問題外我不接受私人訊息問技術問題
好的/有用的資訊公開讓所有人都能知道是最好的
另外, 發問請詳述問題/Log/你曾經進行的嘗試以及結果
請先參考 http://phorum.study-area.org/index.php/topic,24128.0.html