Должен веб-сервер в демилитаризованной зоне быть позволенным получить доступ к MSSQL в LAN?
Это может быть сделано легко с помощью разделения, которое должно быть уже доступным в основе распределения, так как это - часть гну coreutils.
Надлежащая сетевая безопасность указывает, что серверы демилитаризованной зоны не должны иметь никакого доступа в сеть 'Trusted'. Надежная сеть может добраться до демилитаризованной зоны, но не наоборот. Поскольку DB поддержал веб-серверы как Ваши, это может быть проблемой, которая является, почему серверы баз данных заканчиваются в DMZs. Просто, потому что это находится в демилитаризованной зоне, не означает, что это должно иметь открытый доступ, Ваш внешний брандмауэр может все еще предотвратить весь доступ к нему. Однако сам сервер БД не имеет доступа к внутренней части сетью.
Для серверов MSSQL Вам, вероятно, нужна 2-я демилитаризованная зона из-за потребности говорить с AD DC как с частью его нормального функционирования (если Вы не используете учетные записи SQL, а не интегрированные доменом, в которой точке это спорно). Та вторая демилитаризованная зона являлась бы родиной серверов Windows, которым нужен открытый доступ некоторого вида, даже если это проксируется через веб-сервер сначала. Люди сетевой безопасности становятся узкоглазыми, когда они рассматривают domained машины, испытывающие доступ получения открытого доступа к DCS, который может быть навязыванием товара. Однако Microsoft не оставляет много выбора в этом вопросе.
-
1@Allen - мы don' t знают то, что говорят Ваши сетевые парни. @Sysadmin1138 говорит Вам хороший дизайн. – mfinni 24 March 2010 в 20:19
-
2Yah я понимаю что he' s высказывание. Я думаю i' ve сказал в прошлом, что наш mssql был на LAN, когда это было действительно в другой демилитаризованной зоне, как он описывает – Allen 24 March 2010 в 20:27
Я с Вашими сетевыми парнями в теории. Любое другое расположение означает, что, когда кто-то ставит под угрозу веб-сервер, у них есть дверь в Вашу LAN.
Конечно, действительность должна играть роль - если Вы должны жить данные, доступные и от демилитаризованной зоны и от LAN затем, у Вас действительно есть немного опций. Я, вероятно, предположил бы, что хороший компромисс будет "грязной" внутренней подсетью, что серверы как сервер MSSQL могли жить. Та подсеть была бы доступна и от демилитаризованной зоны и от LAN, но firewalled прочь от способности инициировать соединения с любым LAN и демилитаризованная зона.
-
1Это - то, что мы делаем. Общедоступные веб-серверы находятся в демилитаризованной зоне. Серверы БД, к которым они делают запросы, находятся в другой демилитаризованная зона. Ни один из тех не может установить связи с корпоративной сетью, хотя корпоративная сеть может установить связи с ними. – mfinni 24 March 2010 в 19:39
Если все, Вы пропускаете брандмауэр, является соединениями SQL с сервера демилитаризованной зоны на SQL-СЕРВЕР MS, то это не должна быть проблема.
Я отправляю свой ответ, потому что я хочу видеть как его проголосовавший...
Веб-сервер в демилитаризованной зоне должен смочь получить доступ к серверу MSSQL в LAN. Если это не может, как Вы предлагаете получить доступ к серверу MSSQL в LAN? Вы не могли!
-
1
-
2Право, поэтому как Вы предлагаете базу данных управляемый веб-сайт, работает на уровне www? – Allen 24 March 2010 в 19:57