这应该是一个非常基本的问题,我试图研究它,并找不到一个坚实的答案。
假设你在DMZ中有一台Web服务器,在局域网中有一台MSSQL服务器。 国际海事组织,我一直认为是正确的是,DMZ中的networking服务器应该能够访问局域网中的MSSQL服务器(也许你必须打开防火墙端口,这将是好的IMO)。
我们的networking人员现在告诉我们,我们不能从DMZ访问局域网中的MSSQL服务器。 他们说DMZ中的任何东西都只能从局域网(和networking)访问,并且DMZ不应该访问局域网,就像networking无法访问局域网一样。
所以我的问题是,谁是对的? DMZ是否可以访问局域网? 或者,应该严格禁止从DMZ访问局域网。 所有这些假定一个典型的DMZconfiguration。
正确的networking安全状态表明,DMZ服务器不应该访问“可信”networking。 受信任的networking可以到达DMZ,但不是相反。 对于像你这样的数据库支持的Web服务器来说,这可能是一个问题,这就是为什么数据库服务器最终会在DMZ中。 仅仅因为它在DMZ中并不意味着它有公共访问权限,你的外部防火墙仍然可以阻止对它的所有访问。 但是,数据库服务器本身无法访问networking内部。
对于MSSQL服务器,您可能需要第二个DMZ,因为需要与AD DC进行交谈,作为其正常工作的一部分(除非您使用的是SQL帐户,而不是域集成的,在这一点上是没有意义的)。 第二个DMZ将是需要某种公共访问的Windows服务器的家,即使它首先通过networking服务器代理。 networking安全人员在考虑使用公共访问权限的机器可以访问数据中心的时候会变得狭隘。 不过,微软在这个问题上没有多lessselect。
理论上我是和你的networking伙伴在一起的。 任何其他安排意味着,当有人妥协networking服务器,他们有一个进入你的局域网的门。
当然,现实必须发挥作用 – 如果你需要从DMZ和局域网访问的实时数据,那么你真的没有什么select。 我可能会build议,一个好的妥协将是一个“脏”的内部子网,像MSSQL服务器的服务器可以生活。 该子网可以从DMZ和LAN访问,但是可以启动连接到LAN和DMZ的防火墙。
如果你通过防火墙所有的都是从DMZ服务器到MS-SQL服务器的SQL连接,那么它不应该是一个问题。
我张贴我的答案,因为我想看看如何投票…
DMZ中的Web服务器应该能够访问局域网中的MSSQL服务器。 如果不行,你如何build议访问局域网中的MSSQL服务器? 你不能!