我们有一个“绿色”networking(LAN)和一个“橙色”networking(DMZ)的Smoothwall防火墙,我们希望使用OpenVPN接入服务器作为我们的VPN服务器。 问题是:VPN服务器应该在LAN还是DMZ? 而且,如果在DMZ中,VPN连接的客户端应该如何访问LAN资源(例如Samba共享或Windows远程桌面)? (我知道这应该是一个基本的问题,但是我花了很多时间在网上search,似乎大多数人推荐把VPN服务器放到DMZ中,但是我不清楚怎么可能从VPN服务器访问局域网中的资源,同时又不损害具有DMZ的安全原则。) 任何回应将不胜感激! 编辑:我无法find任何关于如何在网上进行的质量解释。 另一个build议( http://www.antionline.com/showthread.php?228254.html )是将VPN服务器与防火墙并联。 对我来说,这听起来更糟,然后端口转发到局域网本身。
我正在寻找replace我们的服务器核心版本的DMZ服务器,但我正在努力与远程pipe理。 DMZ中的计算机位于工作组中,而我连接的客户端位于我们的域中。 每当我加载一个MMC或服务器pipe理器,我会得到无数的“访问被拒绝”警告或Kerberos错误。 它看起来像服务器pipe理器正在试图将域追加到计算机名的末尾。 无论如何pipe理域成员计算机的工作组服务器核心安装吗? 由于它是一个虚拟机,我们可以随时访问控制台,但是想尽可能地使用RSAT工具。 我也可以RDP到框。 我似乎无法find我到目前为止所寻找的答案。
networking上是否有DMZ机器或区域? 拥有DMZ机器或区域的原因是什么? 如果DMZ区域不能在一个站点与正常的networking通信,为什么呢?
我有一个分配给它的/ 29子网的ADSL连接,给我6个可用的IP地址。 目前这个有一个便宜的Netgear ADSL路由器,它有一个内置的交换机。 有3个服务器连接,每个都有一个公共IP地址。 这些服务器中的每一个都在我们的DMZ中,并且与内部防火墙有第二个networking连接,但我不认为这对于这个问题很重要。 由于Netgear路由器的交换机非常简单,这三台服务器中的每一台都可以通过路由器的交换机访问其他服务器。 我需要的是将这些服务器中的每一个与其他服务器隔离开来,并且无法访问它们。 我打算用更合适的东西来replace路由器,例如思科1801,它也有一个内置的交换机,但是支持这个交换机上的VLAN。 但是,我不确定实现目标的最佳方法是什么。 我不确定该路由器上的防火墙是否适用于到其交换机的连接,或者仅适用于路由连接。 而且我觉得这里应该涉及到VLAN,但是我不确定如何! 对于使用/ 29子网实现ADSL连接要求的最佳方法是什么?在哪里连接的设备没有互相连接?
对我正在考虑的反向代理设置有一个怀疑的问题。 我目前在DMZ中有一对负载均衡的应用程序服务器(下图中的S1,S2)。 这些接受来自外部客户的入站请求。 他们还连接到内部networking资源(例如数据库服务器,消息代理) DMZ设置非常标准:两个防火墙 – 内部和外部的。 外部防火墙只允许外部请求特定端口上的特定服务器资源。 面向内部的防火墙只允许DMZ服务器打开到内部networking资源的指定连接(例如数据库服务器,消息代理) 现在,我有一个架构提案说明这个设置是不安全的。 该提案要求将两台DMZ服务器移入内部networking。 在DMZ中,它们将被“反向代理”服务器(下图中的“RP”)替代。 “RP”将接受入站请求并将其代入S1 / S2。 这里的关键卖点是内部服务器启动到DMZ中“反向代理”服务器的networking连接。 所以这: [EXTERNAL] [DMZ] [INTERNAL] Client –> || S1/S2 || –> DB,MQ 正在被这个取代: [EXTERNAL] [DMZ] [INTERNAL] Client –> || RP || <– S1/S2 –> DB,MQ RP本质上是S1 / S2(相同技术堆栈)的精简版本。 它通过由S1 / S2发起的持续连接向S1 / S2传送外部请求。 我的问题:鉴于RP的技术堆栈与S1 / S2相同(技术相同,代码较less),新设置如何提供显着的额外保护? 应用程序攻击不会受到S1 / S2的干扰吗? 具体来说,如果你妥协的RP,你也可以妥协S1 […]
这可能听起来像一个愚蠢的和不安全的问题,但我们是前端网页delopers,并不知道这些事情太多。 所以这里.. 我们正在创build一个Web应用程序,我们要使用Active Directory中的凭据login。 虽然只读访问权限,但我们只需要使用AD凭据login,并获得指示是否成功的callback。 我知道AD中的密码是encryption的,所以我们不能在我们的数据库中有一个用户名和密码的副本,每天同步一次。 所以,我们已经得出结论,像这样的解决scheme应该在客户的networking内部。 那么,为了能够访问Active Directory和互联网,它需要在DMZ区域内? 或者,也许这一切听起来很愚蠢? 因为我们只是从AD中提取用户名和密码,所以我们不需要任何东西。 所以最终用户得到的额外收益也许是他/她不必记住一个额外的密码? 这可能不值得吗? 编辑:将使用此的所有用户已存在Active Directory中。 所以它基本上是销售部门在从客户到下一个客户时使用的工具。 随意downvote这个问题,如果它听起来非常愚蠢:)
我正在寻找WinRM的具体反馈。 还有一些关于是否在没有VPN的情况下公开发布RDP的争论就是一个好主意 – 没有关于是否公开提供SSH的争论是一个好主意,只要它被设置正确… WinRM在这里适合什么地方:使用VPN,没有VPN等?
你更喜欢在一个DMZ中运行他们的IISnetworking服务器吗?它是AD组织的一部分,或者你更愿意牺牲pipe理和用户控制的安全性吗? 我们目前在域之外运行我们的IIS框,这使我们能够与我们的防火墙保持单向的规则(除了1个SQL端口外,从DMZ到LAN的stream量都没有)。 但是,这意味着我现在必须使用非AD身份validation,并手动同步密码框。 哪个更安全? 在DMZ的Active Directory中find答案
我被要求考虑在DMZ中的web服务器(Debian / Apache / PHP)和后端MySQL数据库之间放置一个防火墙来实现“隔离”。 目前,iptables正在MySQL服务器上运行,并且分别仅允许TCP 22和3306用于SSH和MySQL。 但是,这显然不够好,build议使用硬件防火墙。 以思科的ASA 5505为例, 吞吐量为150Mbps,与networking服务器和MySQL服务器现在在同一台GbE交换机上享受的千兆比特吞吐量相比,这似乎相当低。 这是一个问题吗? 我现在还不能给你任何数字,但可以随时说出你的典型的表单驱动的数据录入CRUD webapp,可能有100个并发用户会话。 如果没有任何真正的吞吐量数字是不可能确定的,任何人都可以提出任何测量方法吗? 我想抓取JMeter,模拟一些负载,并使用ntop在MySQL接口的端口镜像上(或者在MySQL服务器上)测量带宽。 编辑: 我粗略地介绍了有关千兆位以太网的项目,理论上的吞吐量应该是125MB / s,而思科5505的最大吞吐量是150Mbps(或〜18MB / s),并不能解释NAT或ACLparsing等。不能看到NAT或ACLparsing对于单节点networking来说是个大问题)。 即使如此,防火墙肯定会成为Web服务器和MySQL服务器之间的一个潜在瓶颈,看起来好的,具有高质量SAS磁盘和其他服务器组件的RAID1设置应该至less能够达到50-75MB / s。
我们有一个运行在DMZ中的邮件网关,它是我们内部邮件服务器的一个中继站,用于存放所有的邮件。 我们已经满足了从DMZ使用DNS来parsing内部服务名称(如内部邮件服务器等)的需求。 我们应该允许从DMZ到LAN的DNS查询吗? 如果一些DMZ服务器遭到入侵,这将导致严重违规。 另一方面,不允许DNS查询使我们更不灵活。 我认为这是一个裂脑DNS的概念,我认为这个问题可以解决这个问题,但是我不太明白在一个Windows AD集成环境中如何实现它。