内部プロキシサーバーvs DMZプロキシサーバー
非武装地帯(DMZ)にプロキシサーバーを配置する理由は何ですか?
DMZは内部ネットワークとは別のネットワークです(内部ネットワークとファイアウォールの間にあります)。サービスをホストするコンピューターをDMZたとえば、セキュリティを高めるためのWebサーバー(Webサーバーが攻撃された場合、内部ネットワークは安全になります)DMZではなく、内部ネットワーク上に配置されているプロキシサーバーを見ました。
「プロキシサーバー」は不正確な用語です。ネットワークのどこに配置するかを決定するには、プロキシサーバーが保護しているものについて考える必要があります。
たとえば、アウトバウンドWebサーフィンのチャネルに使用されるWebプロキシサーバーは、DMZではなく内部ネットワークに配置されることがよくあります。これらの接続はアウトバウンドであり、内部ネットワークに追加の「脅威」をもたらすことはありません。内部ユーザーは攻撃によって何も得ません。そのアクセスを活用するため;彼らはすでに内部にいます。
一方、インターネットから開始された受信トラフィックを受け入れるアプリケーションプロキシサーバーは、通常DMZに配置されます。攻撃者によって開始された接続が何らかの理由でプロキシのソフトウェア(バッファオーバーフローなど)に違反する可能性があり、それが発生すると、攻撃者はプロキシをホップオフポイントとして使用できると想定されています。このようなプロキシはDMZ=に保持され、最初のレイヤーの違反が成功した場合に発生する可能性のある損害を制限します。