服务器 Gind.cn
  1. 服务器 Gind.cn
  3. networking拓扑包括许多服务
Intereting Posts
什么导致这些奇怪的邮件日志? 使用Git部署Rails IE9和apache SSL nokeepalive设置 Ubuntu 16.04,PHP-FPM在使用libsodium-php模块启动时超时 是否可以更改主厨节点的IP地址和域名? 用户创build后添加/更新骨架文件 如何找出POSIX信号的来源 SCP是否locking正在传输的文件? networking问题 – RXing很慢,但TXing很好 Debian最小的一个VPS的好起点? 我可以在已经使用的专用服务器上安装Xen虚拟机pipe理程序吗? 分发一个子树到不同的LDAP服务器 Linux ACL行为:设置掩码更改'ls'输出,但不是实际权限 mailq -Ac与clientmqueue中的文件数不匹配 Joomla的mod_security规则集! pipe理

networking拓扑包括许多服务

我知道这是另一个关于如何设置networking的问题,但是我希望你对这样的问题还没有感到厌烦。

该网站也是一个办公室,所以它包括Windows DC,Windows广告,交换,SQL,文件共享,开发应用程序服务器和其他电脑。

除了办公室(内部)之外,testing环境和产品环境都由Web服务器 – 应用程序服务器 – SQL堆栈组成。 还有向公众开放的ftp服务。

我认为:

dmz1 – web服务器 – 交换边缘 – ftp

dmz2 – 应用程序服务器 – 应用程序服务器的SQL

内部直stream和广告交换集线器和传输内部文件共享内部使用的SQL内部使用的应用程序服务器

public – > dmz1,只有web,ftp和smtp public – > dmz2不可能public – > internal不可能

dmz1 – > dmz2是可能的从networking服务器到应用程序服务器通过使用http或ajp dmz1 – >内部只能用于交换,否则不可能

dmz2 – >内部不可能

这听起来不错吗? 任何其他build议? 它将使用MS ISA或Jupiter SSG进行configuration。 谢谢。

所以这是我的2美分。 你似乎在networking分割的正确轨道上。 这是一些想法。

你的IDS去哪里坐? 如果你有2个DMZ和一个内部区域,那么在我看来你会想要在每个区域前面安装IDS传感器。 但是,您需要允许来自DMZ中IDS传感器的stream量进入内部区域。

而我在这里,你如何提供DMZ设备的DNS服务。

最后一个想法是非常可疑的,locking你的公共FTP服务器,他们可以很容易被滥用。

从整体angular度来看,您似乎已经对整体networkingdevise进行了尽职调查。 以下是我build议你记住的一些事情:

  • 把你的防火墙放在非常小心的位置。 正如您已经指出的,您的DMZ2不能从公共networking或私人networking访问。 那很棒! 您还表示,只有某些服务器可以访问某些其他服务器。 这更好! 确保只有你的应用程序服务器可以访问你的SQL服务器,甚至只在你需要的端口上。 把每个节点的访问需求降到最primefaces级别!
  • 收集所有设备的访问日志,并监视它们的事件。 也许使用Splunk? 即使只是Syslog。 确保访问和stream量数据保持长期。 检查谁是访问您的设备的时间和原因。
  • 尽可能在您的设备上启用networking分析。 Netflow / sFlow。 收集数据并使用能够以有意义的方式显示的软件。 分析哪些types的数据stream入,stream出networking。 如果您对所看到的stream量没有任何意外的话,那么您看起来并不够难。
  • 您还应该仔细研究每台计算机的单个软件防火墙,以防万一您的硬件防火墙遭到破坏和/或违规规则落实到位,软件防火墙也会阻止您不需要的stream量。
  • logging直到你的指尖stream血,你的眼睛撕裂,你想对发明维基人和文件控制库的人身体伤害。 然后文件更多。 你正在进入一个曲折的迷宫。 您需要在您的文档中强调OCD,您需要将Tofranil的调色板空投给您(强迫症患者将知道Tofranil是什么)。 如果你的团队中的任何人在这样一个复杂的networking环境中没有正确的文档,请盯住他们。
  • 你也可以考虑在可能的情况下encryption数据stream。 就您的Web层而言,或许可以考虑使用IPSEC对stream进行encryption。 我承认这可能有点矫枉过正。

最终的目标不仅仅是缩小攻击面,还要监视试图触摸不可用和可用表面的stream量。 这有点像确保银行拥有所有最好的锁具,保险箱和口头禅,但是从不监视设备,看是否有人企图抢劫。 假设给予足够的无监督时间,任何人都可以做任何事情。

您的networking和数据库服务器就像金黄色的硝基甘油瓶。 假设每个人都希望他们为了自己的利益,也想在这个过程中与他们爆炸。 真的,任何面向公众的设备是。

你在正确的轨道上! 分割你的networking很棒。 你高于同龄人。 现在尽量站在标准之上。

是的,这是另外一个问题。 您在描述您的需求/目标方面并不是非常具体。 答案在于你回答诸如(但不限于)的问题:

有多less用户?

您需要向这些用户提供哪些服务?

你需要向外界提供哪些服务?

实施IT基础设施的业务目标/要求是什么?

DRP \ BCP要求什么?

等等。

目前forms的问题就像问:

我正在烘烤一个馅饼。 我有一些苹果,我想用一些面粉和糖。 你怎么看?