Should web servers be in a DMZ?

In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?

Cheers - Bob

In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?  Cheers - Bob

  

Instead of having a DMZ and servers in that separate DMZ?

I currently already use the WAF to access my web servers that are on the trust LAN, I don't do any NAT to my internal web servers.. In this case is there a need for a DMZ?

Thanks
Ross

Hi Ross86,

whats a DMZ for? In my opinion all servers wich are accessible from the Internet are possible victims for hackers. If a possible bad guy gets access to one of them and takes the control he trys to get from one machine to the next.
Can you say all of your server are free of bugs and a bad guy will not be able to attack them with success.
So i think thats what a DMZ is for, if he gets control of your server he is not able to get into your internal network and dont steal your personal or business data.
Who said that the WAF in UTM has to save your internal servers? It could save your DMZ server too. And if Admins nightmare comes true the bad guy controls your DMZ servers but your business data are secure while this.
In the tutorials of the german BSI you can see different protection level of different parts of your network. 
- The Data in a DMZ need normal protection Level.
- Your normal Data need a medium protection Level.
- Your HR or ERP Data may need the higest protection Level.
So think about the possibilities of how to protect on different Levels - is it to put all server in a single zone and hope its good or is it to seperate them and get the protection from the UTM wich makes the separation working.

this are only some things to think about to come to an answer.
the needed security levels may differ and the real scenario could not planned here without all knowledge about your infrastructure.

Greets
Firebear

Hi Ross86,

whats a DMZ for? In my opinion all servers wich are accessible from the Internet are possible victims for hackers. If a possible bad guy gets access to one of them and takes the control he trys to get from one machine to the next.
Can you say all of your server are free of bugs and a bad guy will not be able to attack them with success.
So i think thats what a DMZ is for, if he gets control of your server he is not able to get into your internal network and dont steal your personal or business data.
Who said that the WAF in UTM has to save your internal servers? It could save your DMZ server too. And if Admins nightmare comes true the bad guy controls your DMZ servers but your business data are secure while this.
In the tutorials of the german BSI you can see different protection level of different parts of your network. 
- The Data in a DMZ need normal protection Level.
- Your normal Data need a medium protection Level.
- Your HR or ERP Data may need the higest protection Level.
So think about the possibilities of how to protect on different Levels - is it to put all server in a single zone and hope its good or is it to seperate them and get the protection from the UTM wich makes the separation working.

this are only some things to think about to come to an answer.
the needed security levels may differ and the real scenario could not planned here without all knowledge about your infrastructure.

Greets
Firebear