คำถามติดแท็ก dmz

ขณะนี้เรามีเว็บเซิร์ฟเวอร์ของเราใน DMZ เว็บเซิร์ฟเวอร์ไม่สามารถเห็นอะไรในเครือข่ายภายใน แต่เครือข่ายภายในสามารถเห็นเว็บเซิร์ฟเวอร์ได้ ปลอดภัยแค่ไหนที่จะเจาะช่องโหว่ในไฟร์วอลล์ระหว่าง DMZ และเครือข่ายภายในไปยังเว็บเซิร์ฟเวอร์เดียวในอินทราเน็ต เรากำลังทำงานกับสิ่งที่จะเชื่อมต่อกับแอปพลิเคชันแบ็คออฟฟิศหลายแห่งของเรา (ซึ่งอยู่บนเซิร์ฟเวอร์เดียว) และมันจะง่ายกว่านี้มากหากทำโครงการนี้หากเราสามารถสื่อสารโดยตรงกับเซิร์ฟเวอร์ IBM i ที่เก็บข้อมูลนี้ ( ผ่านบริการเว็บ) จากความเข้าใจของฉัน (และฉันไม่รู้แบรนด์) เรามีไฟร์วอลล์หนึ่งไฟร์วอลล์สำหรับ DMZ ที่มี IP ภายนอกที่แตกต่างจาก IP หลักของเรากับไฟร์วอลล์อื่น ไฟร์วอลล์อื่นอยู่ระหว่างเว็บเซิร์ฟเวอร์และอินทราเน็ต ดังนั้นสิ่งที่ชอบ: Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz 

ผู้ดูแลระบบเครือข่ายของเรายืนกรานว่ามันไม่ปลอดภัยสำหรับเว็บเซิร์ฟเวอร์ของเราซึ่งโฮสต์ใน DMZ เพื่อเข้าถึงเซิร์ฟเวอร์ DB หลังไฟร์วอลล์ของเรา เพื่อแก้ไขปัญหาเราเข้าถึงข้อมูลผ่านบริการบนเว็บหรือ WCF ฉันรู้สึกว่านี่เป็นภาระด้านประสิทธิภาพที่ไม่จำเป็นซึ่งสามารถกำจัดได้หากเว็บเซิร์ฟเวอร์สามารถเข้าถึงฐานข้อมูลได้โดยตรง เหตุผลที่ฉันได้รับคือแฮกเกอร์สามารถเข้าสู่เว็บเซิร์ฟเวอร์ที่พวกเขาสามารถเข้าถึงฐานข้อมูลได้ เป็นไปได้หรือไม่ที่จะเปิดพอร์ตสำหรับ IIS เท่านั้นหรือเป็นไปไม่ได้ที่จะระบุให้เฉพาะเจาะจง ถ้าเราสามารถล็อคมันลงไปใน IIS ได้เพียงอย่างเดียวมันอาจจะเป็นสิ่งที่แฮ็กเกอร์นั้นประกอบขึ้นได้อย่างง่ายดายหรือไม่? ฉันอ่านบทความต่าง ๆ บนอินเทอร์เน็ต แต่ฉันไม่สามารถหาคำตอบที่แน่นอนได้ อัล

12 sql-server  database  iis  firewall  dmz 

นี่ควรเป็นคำถามพื้นฐานมากและฉันพยายามค้นคว้าและไม่สามารถหาคำตอบที่ชัดเจนได้ สมมติว่าคุณมีเว็บเซิร์ฟเวอร์ใน DMZ และเซิร์ฟเวอร์ MSSQL ใน LAN IMO และสิ่งที่ฉันคิดเสมอว่าถูกต้องคือเว็บเซิร์ฟเวอร์ใน DMZ ควรจะสามารถเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN (บางทีคุณอาจต้องเปิดพอร์ตในไฟร์วอลล์นั่นก็คือ ตกลง IMO) พวกเครือข่ายของเรากำลังบอกเราว่าเราไม่สามารถเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN จาก DMZ ได้ พวกเขาบอกว่าสิ่งใดก็ตามใน DMZ ควรเข้าถึงได้จาก LAN (และเว็บ) เท่านั้นและ DMZ นั้นไม่ควรเข้าถึง LAN เช่นเดียวกับที่เว็บไม่มีการเข้าถึง LAN ดังนั้นคำถามของฉันคือใครถูก DMZ ควรมีสิทธิ์เข้าถึง / จาก LAN หรือไม่ หรือควรห้ามมิให้เข้าถึง LAN จาก DMZ โดยเด็ดขาด ทั้งหมดนี้ถือว่าเป็นการกำหนดค่า DMZ โดยทั่วไป

12 networking  local-area-network  dmz 

ฉันต้องการโฮสต์เว็บเซิร์ฟเวอร์ซ้ำซ้อนที่สามารถเข้าถึงอินเทอร์เน็ต (NATed) ที่อยู่ด้านหลัง af / w บนพอร์ตมาตรฐานเดียวกัน หากฉันมีที่อยู่ที่เปิดเผยต่อสาธารณะเพียง 1 รายการฉันต้องใช้ reverse proxy หรือ load balancer หรือไม่ หากฉันสามารถเพิ่มพื้นที่สาธารณะได้ (และไม่ใช่ NAT) ฉันต้อง subnet พื้นที่นั้นเพื่อให้สามารถกำหนดเส้นทางได้หรือไม่

11 web-hosting  dmz