我有一套使用ASP.Net WebAPI开发的RESTful服务,这是一个单独的项目。 我通过ASP.Net内置的基于表单身份validation(基于cookie的)机制处理身份validation,该机制也内置在同一个项目中。 这些服务需要公开地暴露在互联网上,因为它们将被移动应用程序所使用。 我的一位同事build议保持身份validation的独立性,并将其托pipe在DMZ中,而服务项目则像这样在防火墙内托pipe authentication模块(DMZ / Internet)| – 防火墙| | (安全区域)负载平衡器 – >托pipe服务网站的多台服务器。 为什么以及如何更安全? 做这个的最好方式是什么? 即,我是否必须创build两个项目并将validation逻辑放在一个以便放置在DMZ中。 IIS中有没有标准的内置机制(IIS 7)? authentication模块可以扩展吗? 即DMZ中的多个authentication服务器
我有一个面向互联网的应用程序服务器,我想使用AD身份validation。 这是我第一次做这个没有MS应用程序或没有某种代理。 我脑中已经有了一个想法来说明如何去做。 我想确保我不会错过一个明显的安全漏洞。 我目前的想法是互联网stream量去DMZnetworking应用程序服务器只允许HTTPS / 443stream量和拒绝所有其他,包括传出stream量(不包括LDAPS)。 DMZ内部有一个只读域控制器,除了RODC所需的LDAPS和端口(基于MS RODC DMZ最佳实践)所需的stream量之外,它将拒绝所有input输出。 RODC将不会有任何直接的互联网stream量。 内部networking我将有一个常规的域控制器。 WebApp和RODC之间的所有通信都将是LDAPS。 3台服务器之间的所有IP通信都将使用IPSEC对IPstream量进行身份validation和encryption。 RODC将被过滤为只包含用户名数据,无密码或其他数据。 它将每个需求每次查询内部DC。 WebApp和RODC都将是一个服务器核心安装,没有GUI。 WebApp —- | IPSEC / LDAPS | —> RODC —– | IPSEC / LDAPS | —>内部DC 显然所有的服务器将被locking,只允许直接IPstream量与所需的端口,没有别的。 我错过了什么吗?
我正在尝试使用Azurenetworking安全组创build一个简单的DMZ,使用梭子鱼WAF作为DMZ的公共入口点,但是我有一些麻烦,允许互联网stream量访问梭子鱼(然后被转发到我的内部负载平衡器为我的应用程序服务器)。 我应该如何使用SOURCE和DESTINATION IP前缀? 我努力了: 来源:0.0.0.0/0目的地: 梭子鱼的内部知识产权 来源:互联网目的地: 梭子鱼的内部知识产权 来源: 梭子鱼的公开知识产权目的地: 梭子鱼的内部知识产权 来源:0.0.0.0/0目的地: 梭子鱼的公开IP 我也尝试改变入口的优先级为100以及1000(其他都是900-500)。 我已经删除了虚拟机上梭子鱼的所有默认端点configuration(因为我发现这些似乎覆盖了networking安全组)。 当我没有安装networking安全组时,networking肯定能和梭子鱼一起工作,但是我想用networking安全组来确保我有一个“尽可能安全”的DMZ。 端点 Name | Type | Prty | Source IP | Port | Dest IP | Port | Protcl | Access DMZ NSG: Internet | Inbound | 100 | INTERNET | 443 | 10.106.164.20 | 443 | TCP | Allow […]
我想要具体的条款。 当我说DMZ的时候,我正在谈论一个地方,你会把服务器暴露给像互联网这样的不可信任的networking,或者在某些情况下只是那些不太可信的networking。 我试图通过审计我们通过防火墙公开的东西来支撑我们的networking边界。 我说的防火墙不是微软的ISA服务器,永远不会。 如果你们中的任何一个处于这种情况,你就知道允许成员服务器连接到域控制器所需的端口非常广泛。 微软试图解决这个问题提供了一些使用RODC来减less开放端口数量的devise,但是即使它只是一个端口,Active Directory本身也是一个未经授权的人攻击了DMZ成员服务器的情况。 DMZ中AD成员服务器的共识是什么? 太不安全,还是可以接受的风险? 假设前者(我倾向于),除了本地帐户身份validation之外,是否还有比AD更安全的选项来validationloginDMZ Windows服务器的用户? 如果没有,那么是否有一种机制可以在login时将本地帐户与真实用户相关联以进行审计? 似乎跟踪用户在独立服务器DMZ中的行为的唯一select是为login到服务器的每个用户创build本地计算机帐户。 当然,理想情况下,您没有人login到服务器进行正常操作; 整个事情应该由代理使用服务帐户进行pipe理(这是一个整体“另外的讨论)。 但是现在我们的行动还不是“那里”。 我们希望DSC能够做到这一点。 微软的build议的重点是对我来说不切实际或错过了这一点。 一个仅用于DMZ的Active Directory降低了入侵者收集英特尔的能力,但仍然使得该向量几乎就地存在。 他们的解决scheme可以做的最好的办法是把这个英特尔限制在DMZ上(除了你的DMZ AD可能提供的服务外),将风险宝贝分开。 权衡是每个DMZ的一个AD。 所以现在你的pipe理员正在pipe理一个帐户+ N DMZ's。 并不是说微软正在倾听,但是需要有一个中间的方式来授权Windows用户,但是不需要使用像enum LDAP用户那样的凭据。
我以前的DSL调制解调器有一个名为“ DMZ主机 ”(在其他平台似乎被命名为默认主机)的function。 当您selectnetworking中的计算机作为DMZ主机时,它会将每个非手动转发的端口转发到该计算机,并通过DHCP将该调制解调器的外部IP分配给该计算机(dmz主机)。 所以,实际上,它将复制外部IP并将其提供给内部计算机。 由于各种原因,这是很方便的,特别是挑剔的程序(随机端口)或游戏。 但是现在我已经改用了光纤,调制解调器没有这个function。 我打算创build一个用于路由目的的Linux机器。 有没有办法用iptables重新创build相同的function? 涉及其他平台/软件的提示非常受欢迎。 为了更好的清晰起见,我附上了一个图表(从这个问题的图片编辑: 从LAN内部访问DNAT'tednetworking服务器 )在这里: 提前感谢! 我一直在试图find有关设置这个信息,但我一直无法。 也许我使用了错误的search条件。
基于以下devise约束,是否有任何人有关于如何在多个networking区域部署Kubernetes的最佳实践或build议? 这种方法最常用和最常用的方法是什么? 例如,如果我有一个典型的DMZ,应用程序区域,数据区域,我希望我的nginx容器在DMZ中运行,在应用程序区域中运行我的node.js应用程序容器,在数据区域运行我的MongoDB容器。 要么 以更高的成本,我可以为每个区域部署一个kubernetes群集,每个区域都有自己的主节点和工作者节点 – 尽pipe这在考虑灾难恢复或站点主动/主动要求时似乎是一项重大投资。 我会部署在DMZ中的K8s主人以及DMZ中的工作者节点和剩余的应用和数据库区域吗? 我知道我可以将所有内容部署到应用程序区域,并使用SDN创build相同的networking分区并将我的请求从DMZ负载均衡到集群,但这不是我想要做的。 非常感激。 汤米B.
一个相对新手的networkingconfiguration问题 我们有一个现有的局域网设置,一个硬件防火墙(D-Link DIR-655)和一个微软小型企业服务器(可以做DHCP)。 我们已经被ISP分配了多个公网IP,但D-Link只能有一个静态IP AFAIK。 我正在寻找使用我们的额外的IP通过指向他们几个不同的Web服务器内部。 我提出的networkingdevise,就是创build一个SmoothWall虚拟机(VirtualBox)。 然后我会把虚拟机放在DMZ中。 这样,SmoothWall可以将传入的请求传递给其他公有IP,并将端口80转发到我们networking中正确的(虚拟)机器上。 这是build立networking的正确方法吗? 注意:我试图通过第一个公共IP地址来运行我们的主要业务Exchange服务器和其他服务,以避免取下现有的局域网。 我也没有一个备有2个网卡的备用硬件机器,用于SmoothWall安装,但如果有显着的优势,那么我们可以考虑获得一个。
在负载平衡的环境中,是否有必要在DMZ中拥有所有的Web服务器? 或者只是让DMZ中的负载均衡器达到所需的安全性? 如果重要,Web服务器和应用程序服务器是相同的 – GF,Tomcat在同一台服务器,OAS等httpd前面… LB – > WEB / APPLICATION – > DB 另外,如果是这样的话,安装程序会不一样 LB – > Web服务器 – >应用程序服务器 – >数据库 谢谢,布拉德福德
任何想法如何可以在ASA上完成? 有一个sonicwall的地方,但它只是死了,除了这个ASA,我们没有替代。 24.172.x.132是垃圾邮件filter,我无法更改IP地址。 它需要能够访问局域网中的一台服务器。
我正在寻找关于如何在Pfsense中设置DMZ并在DMZ中放置一些虚拟服务器的networking技巧。 现在我的networking看起来像: Uverse(静态IP) – > Pfsense – > WAN – > (虚拟IP / CARP / NAT 1:1到虚拟服务器的内部IP地址) 对于Uverse,我必须设置虚拟IP / CARP来通过广域网传输外部静态IP。 这个configuration工作的很好,我的虚拟服务器(Web服务器和Exchange服务器)正在获取它们各自的外部IP地址。 我也设置了各自的防火墙规则,只允许端口打开。 我想要做的就是将这些虚拟机放在DMZ中,以最好地保护我的内部networking。 我的虚拟机正在ESXI 5.0上运行。 我的Pfsense服务器(2.0.1)具有4个NIC。 目前正在使用4个中的2个; 1个WAN,1个LAN。 任何有关如何设置Pfsense和ESXI / VSphere将这些虚拟机置于DMZ中的帮助/指导也允许我通过内部networking连接到这些虚拟机,但是同时保护我的内部networking不受这些服务器的影响腐败。 我的ESXI主机有2个物理NICS。