在负载平衡的环境中,是否有必要在DMZ中拥有所有的Web服务器? 或者只是让DMZ中的负载均衡器达到所需的安全性? 如果重要,Web服务器和应用程序服务器是相同的 – GF,Tomcat在同一台服务器,OAS等httpd前面…
LB – > WEB / APPLICATION – > DB
另外,如果是这样的话,安装程序会不一样
LB – > Web服务器 – >应用程序服务器 – >数据库
谢谢,布拉德福德
我的第一个反应是networking服务器应该在DMZ上。
DMZ的概念是一个区域,如果攻击成功,它不会影响组织的其他部分。 理想情况下,从DMZ上的任何机器到内部/安全networking应该是不可能的。
从LB / Web服务器/应用服务器组合中,LB可能不太容易被成功攻击。 因此,我想说那些机器应该在DMZ中。
最好的祝福,
JoãoMiguel Neves
安全是关于层。 仅仅依靠单一的DMZ技术(或任何技术)来实现安全性就成了问题。 没有两个networking是相同的,那么是否有安全要求?
如果你把你的LB放在DMZ中,那么提供DMZ的东西也必须承受这个负担。 你的DMZ在做什么? 包过滤,l7检查,IDS等等,还是所有这些?
你想保护什么? 你想保护什么? 你是什么交通负荷? 如果您的千兆位链路最大化,那么您将需要大量额外的基础设施来处理这个stream量。 这个基础设施必须是容错的。
为什么不硬化你的操作系统,应用正确的基于主机的防火墙规则,以及在你的边缘路由器上进行一些基本的过滤。
有状态的防火墙也有限制,它是负载平衡,监视和维护的另一个基础设施。 (并可能有安全问题)。
安全是一个过程。 只是实施一个dmz不会真的解决什么,除非你真的知道你想要保护什么,为什么。
您可以继续添加图层,但增加复杂性,降低复杂性有时更安全,所以这是一个真正的折衷。
我看到许多networking上安装了昂贵的networking安全设备和程序,当你问他们是否定期进行脱机数据库备份时,他们是空白的。
这个答案可能会提出更多的问题而不是答案,但是这个问题很短,答案很长。
任何一个用“只是安装防火墙”的回应,可能都不应该回答这一切!