我们即将为我们的用户发布一个Web应用程序,并试图弄清楚是否有人将他们的服务器放在DMZ中,或者只是将其保留在防火墙后面的域中,并通过防火墙规则大大限制访问? 有没有人在这里发现任何缺点,只是通过防火墙规则和操作系统的权限限制访问?
请注意,这个站点是一个带有SQL Server后端的ASP.NET MVC前端。
另外 – 这是一个人力资源/财务应用程序,数据库后端包含我们最有价值的数据。 从安全angular度来看,我宁愿让世界根访问内联网,而不是访问数据库服务器。 结果,我原来的计划是跳过使用DMZ,只打开防火墙上的端口443到networking服务器…这似乎并没有比数据库服务器上的DMZ与networking服务器。
通常情况下,configuration是这样的:
Internet facing servers connected to Firewall's DMZ Port Trusted servers (SQL, AD, etc) connected to Firewall's Trusted/LAN Port Internet connected to Firewall's WAN port 然后,将防火墙configuration为在这些子网之间路由,并根据您定义的ACL允许访问。
我通常不使用DMZ,而只使用防火墙。 IIS应用程序池正在运行的帐户已被限制。
你问的是什么是最好的做法?
把事情放在哪里并不重要。 即你如何保护它。
一个防火墙规则可以打开所有东西,或closures所有东西。 也许你需要从不同的angular度来看待它。
您是否相信您的员工能够直接访问这些服务器,而不需要防火墙来限制他们之间的访问。 互联网也一样。 如果是这样的话,他们都在一个非军事区。
就我个人而言,我喜欢它们在同一个子网上,因为它确保了最高的性能。 但是,如果Web服务器受到威胁,则会使数据库服务器比安全的LAN端更开放。 他们的其他服务是否需要像RDP那样在局域网的数据库服务器上可用? 取决于它在哪里坐,你可能不得不打开港口从局域网到DMZ允许访问等。
黄金法则:如果可以从互联网上得到,没有实际的理由不这样做 – 把它放在非军事区。 这个想法是,如果机器受到损害,就不应该到达内部networking。 实际上,这有点像双重防火墙。