个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
我们正在获取 PCI 1 级,如果有人能帮助阐明 PCI-DSS 1.3.3 和 1.3.5 要求,我将不胜感激,其中规定:
1.3.3 -“不允许互联网和持卡人数据环境之间的流量有任何直接入站或出站路由”1.3.5 -“限制从持卡人数据环境到 Internet 的出站流量,使出站流量只能访问 DMZ 内的 IP 地址。”
现在,我们正在使用 Juniper SRX 防火墙,并在 DMZ 中使用网络服务器,在受信任的环境中使用 mysql 数据库服务器。对于 Trusted,我们刚刚完成了对公共(public)导出的锁定,并且必须在 DMZ 中设置一个代理服务器来获取更新(yum、clamav、waf-rules 等...)以从中获取更新。
但我们并不真正期望 DMZ 也需要像我们在 Trusted 上所做的那样完全锁定导出。而且我确实发现在 DMZ 上进行导出锁定有点挑战(除非我弄错了),因为我们的代理也住在那里并且需要对公众进行出站访问以获取更新等等。通过 IP 将它们列入白名单具有挑战性,因为第 3 方供应商的 IP 不断变化。
所以我的问题是,到底需要多少“限制”?对于我们的 Trusted,我们有一个“拒绝所有”导出和一个它可以访问的选定 IP 地址的白名单。 DMZ 是否也需要这个?或者 DMZ 是否可以仅具有基于端口的“全部拒绝”,这会使事情变得容易得多,因为我们不必担心镜像和第 3 方服务不断变化的 IP 地址。
我发现一些代理设备可以根据“主机名”进行智能过滤(换句话说,动态 IP 白名单),但它们似乎要花不少钱。
如您所见,我正在寻找一些答案,我们的审计员帮不上什么忙,他只是说需要锁定它。如果这里有人有 PCI 审计经验,我很想听听您的意见。
最佳答案
如果您限制了对您的 DMZ 的入站和出站访问,并且没有从 DMZ 到 Internet 的直接访问,那么您就满足了要求。
通过使用代理,大多数 QSA 会同意您已删除直接访问权限。如果有代理不可用的服务,那么您可以将它们从与持卡人数据环境相同的 DMZ 中删除(例如,如果它们不是即时服务的一部分)或与您的 QSA 讨论这个问题。您可能需要实现补偿控制或查看其他创造性解决方案。
您需要让您的 QSA 相信这些是对限制的合法放宽。这确实是他们应该能够查看您的文档和实现并直接给您肯定或否定的地方。
与许多 PCI 要求一样,解释也很灵活。您可以在本文档中找到有关每个要求的意图的更多信息:https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf
关于linux - PCI-DSS 1.3.3/1.3.5,限制从 DMZ 到 Internet 的出站访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12103826/
26
4
0
像其他人一样,我需要在 Internet Explorer 6 和 Internet Explorer 7 上测试我的代码。现在,Internet Explorer 8 为开发人员提供了一些很棒的工具
我已经浏览了几个小时的注册表,但似乎无法找到控制 Internet Explorer 临时 Internet 文件设置的注册表。我想从自动更改为其他内容。 最佳答案 HKCU\Software\Mic
这个问题在这里已经有了答案: 10年前关闭。 Possible Duplicate: Running Internet Explorer 6, Internet Explorer 7, and Int
作为一名开发者,我发现新的 Internet Explorer 版本完全是一场噩梦。我关闭了 Windows 功能,但无法安装 Internet Explorer 10 。它说它已经安装,但事实并非如
是否有任何分析器工具可以调试DOM中的哪个javascript /对象导致Internet Explorer挂起/崩溃。 CPU使用率将超过60%,我想知道其背后的原因,是哪个脚本/ Flash Ob
我正在尝试确定Internet Explorer上TTF字体格式的支持状态。 (我手头没有任何Windows计算机可以尝试。)The table at caniuse指出,从版本9开始的IE支持TTF
是否可以在 Internet Explorer 中切换多个版本的 JDK/JRE? 想要使用 jdk 1.4、jdk 5 和 jdk 6。 谢谢,迈克尔 最佳答案 据我所知,这并不容易做到,因为 IE
这应该是IE8下载问题的老问题了。我使用 PHP 来设置响应头,如: header("Pragma: public"); header("Expires: 0"); header("Content-t
这个问题在这里已经有了答案: 10年前关闭。 Possible Duplicate: Running Internet Explorer 6, Internet Explorer 7, and Int
我正在使用新的Internet Explorer 11开发人员工具将文档模式切换为“8”,但条件注释仍然被忽略,也就是说,它们没有被正确解析并且表现得像普通注释。因此,浏览器不会请求/加载条件注释内的
我在我的一个站点上遇到 Internet Explorer 6 问题,我真的希望我安装它而不是 Internet Explorer 7。有没有一种快速的方法来做到这一点? 最佳答案 下载Microso
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and t
如何访问 Internet Explorer 运行实例的经典 Internet Explorer COM 自动化对象?也就是说,如果我在多个窗口中打开 Internet Explorer,如何从 Po
string filename = Server.UrlPathEncode(Path.GetFileName(_Filename))); Response.AddHeader("Content-Di
当我尝试使用 Apache 2.2 在 Windows7(64 位)上的 IE9 或 IE10 中打开 localhost 时,解析 URL 需要很长时间。其他浏览器没有问题并立即解析 URL,只有
我有一个批处理文件,必须启动 Internet Explorer 并打开 www.google.com .当整个页面加载完成时,它应该终止 IE 进程,即关闭该系统中的所有 IE 实例。我的批处理文件
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 6 个月前关闭。 Improve t
基本上,无论我使用 IE 访问哪个网站,我都可以看到那些黑色/白色形状,一旦我将鼠标移到它们上,它们就会消失。 想知道是否有人知道可能导致这种情况的原因? 另外:http://imageshack.c
我检查了所有注册表,但找不到所有已安装扩展的列表。 此时,IE 扩展/加载项的任何一般位置都会有所帮助。 最佳答案 取自 here : 浏览器帮助对象 - 旨在增强浏览器功能的浏览器插件。 条目可以在
这是一个两部分的问题。我正在构建一个网页,我需要知道: 有没有办法检测 IE 是否启用了平滑滚动(如果是,如何)? 有没有办法强制 IE 关闭我网页的平滑滚动功能? 明确地说,我不是在问如何关闭整个计
我是一名优秀的程序员,十分优秀!