我想扫描我的DMZ,查找在子网之间桥接的主机,并启用路由。 因为我拥有从VMWare服务器到DMZ上的负载均衡器的一切,所以我不确定每个主机是否configuration正确。 可以使用什么IP,ICMP或SNMP(等)技巧来轮询主机并确定主机是否充当路由器? 我假设这个testing会假定我知道目标IP,但是在一个有很多子网的大型networking中,我将不得不testing许多不同的networking组合,看看我是否成功。 这里是一个例子(ping): 对于DMZ中的每个IP,arp为主机MAC 将ICMP回复消息发送到指向每个子网上的在线主机的主机 我认为有一个更好的方式来获取信息,即从ICMP / IP本身,但我不知道要寻找什么低级别的位。 如果可以在不知道主机可以连接到的子网的情况下确定“路由器”状态,我也会感兴趣。 这将有助于了解何时改善我们的安全状况。
我在DMZ有几个www服务器。 我的监控和日志收集服务器放置在我的局域网中。 没有沟通之类的 WWW server in DMZ —-> monitor server in LAN 。 我可以从我的局域网连接DMZ LAN –via proxy–> WWW server in DMZ 。 我要使用syslog-ng。 问题是客户端 – 服务器体系结构和客户机中的syslog-ng工作连接到服务器以发送日志。 有没有办法configuration系统日志ng在某些types的被动模式,服务器(在我的局域网)将连接到客户端(DMZ)和收集日志? 编辑:我正在阅读有关Zabbix代理(zabbix可以监视日志)…而依靠zabbix文档teoryicaly它将是posible使我的scheme工作。 有人可以证实吗?
我发现这个问题非常关注DMZ和什么时候把服务器放在一个。 我们正在重新组织内部公司networking(保持相同的外部IP和域),我们主要的 Windows服务器(我们大量使用WinAD)将保留在局域网上,并带有防火墙和端口转发function来引导外部stream量。 将服务器(例如:电子邮件)设置在与其他内部networking不同的VLAN上而不是在DMZ内部的安全(dis)优势是什么?
我正在寻找将2个额外的Windows Server 2003域控制器与6个安装在常规networking中的DC一起部署到一个单独的机密DMZ中,共计8个DC。 2台机密数据中心将通过IPSec与防火墙进行通信。 但是,我想知道如何停止定期的networking工作站和服务器试图与机密的区议会authentication? 有没有一种方法可以使用AD站点和服务来阻止常规的networking工作站和服务器尝试与这些机密的DC进行通信? 我想说的是,是否会有问题,或者当一个普通的networking工作站或服务器试图与机密数据中心进行身份validation,时间会导致问题,或者它会超时,尝试另一个数据中心,继续进行?
防火墙允许从内部networking到DMZ的NetBIOS连接安全吗? 如果不安全,风险是什么? 如果安全的话,什么是FUD和反驳是什么?
我们正在DMZ公司的一个独立的LAMP平台上部署一个简单的通讯webapp。 关于是否应该从DMZ中删除MySQL服务器并将其放入内部networking,有一些讨论。 服务器位于防火墙后面,只打开端口80,MySql将连接到非标准端口。 数据库包含客户电子邮件地址。 这是一个安全的设置(或足够安全)? 将数据放置在第二个防火墙后面会更安全吗? (我更像是一个开发人员,所以我没有真正意识到这里的所有安全方面 – 有人可以启发我!) 更新只是为了澄清,并进一步评论这里是我们目前的设置: internet – firewall1 – http服务器 – firewall2 – appserver – firewall3 – 企业资源 这个新的应用程序应该完全在防火墙1和防火墙2之间的DMZ内。我们正在讨论把MySQL服务器拉到第二个防火墙后面。
我在SOHOnetworking中使用Ubiquiti EdgeRouter。 我已经使用“WAN + 2LAN2”向导进行了configuration,不需要桥接LAN端口。 这将设置eth0分配给WAN的三端口路由器,eth1和eth2分别服务于两个独立的子网10.0.0.1/24和10.0.1.1/24。 我打算添加一个交换机到eth1来为我的局域网服务。 我打算将networking服务器连接到eth2,并将端口转发到端口80以创buildDMZ(外围networking)。 我想在eth2上禁止访问路由器的Web GUI。 这将确保,如果我的DMZ受到威胁,路由器不能桥接,以允许访问我的局域网的其余部分。 不幸的是,在Web GUI中没有明显的方法来设置它。 如何禁用其中一个LAN接口的GUI访问?
我正在build立一个需要从互联网上访问的机器的networking。 我打算把这些放在非军事区。 DMZ中的一些机器需要访问专用networking上的机器,专用networking上的机器需要访问DMZ中的机器。 我已经读过,最安全的实现是有两个防火墙的。 我打算使用的两个防火墙都是CISCO ASA 5500。 虽然我对如何使用这些特定设备实现这一点感兴趣,但我也对理论方面感兴趣,因为我正在为我们公司的客户创build文档,以便如何设置这些文档。 具体到我正在使用的设备的说明帮助,但我也想知道如何解决这个一般。 我有三个特定的机器: DMZ_Web DMZ_Service INT_SRV 正如它们的名字所描述的,DMZ_Web和DMZ_Service在DMZ中,而INT_SRV是内部服务器。 我也有两个防火墙: FW1 FW2 简而言之: Ext客户端需要访问端口443上的DMZ_Web Ext客户端需要访问端口3030上的DMZ_Service DMZ_Web需要在端口2020上访问INT_SRV 在客户端需要访问端口3030上的DMZ_Service 联网: FW1连接到互联网,DMZ和内部networking FW2连接到DMZnetworking(外部接口),内部networking(内部接口) 内部networking是192.168.1.0 255.255.0.0 DMZnetworking是192.169.1.0 255.255.0.0 DMZ机器有两个NIC,一个连接到FW1,一个连接到FW2。 连接到FW2的NIC具有192.169.1.0范围内的静态IP。 连接到FW1的NIC具有可从互联网公开访问的静态IP。 下面链接是一个图,我希望能回答很多有关拓扑的问题。 我已经收集到,我可能需要设置一些静态NAT规则来从DMZ机器到内部networking的stream量,反之亦然,但我不知道。 有一点我想指出的是内部networking连接到FW1和FW2。 它连接到FW1允许访问互联网。 它连接到FW2,以便它可以访问DMZ中的设备。 我不确定这是否正确。 如果不正确,什么是正确的实施? 如果不正确,它会起作用吗? 我搜遍了所有,但无法find一个地方,实施我的整个解决scheme。 大多数时候,这是一个地方。 我一直没有能够得到所有的作品一起工作:(
我有一台运行KVM的虚拟机的Ubuntu 12.04服务器。 我想在互联网上公开一些这些虚拟机,以使客户可以testing我们正在开发的产品,并提供用于演示目的的其他产品。 其中一个服务器网卡configuration了公共IP。 但是,在暴露networking上的任何东西之前,我想确定如果其中一台虚拟机受到攻击,攻击者就无法到达其他主机。 我想要做的就是把这些虚拟机放到DMZ中 。 这些是我打算做的步骤: 在虚拟化主机中创build一个tap接口(假设tap1 ) 使用tap1创build一个网桥,并为其分配一个独立于其他主机的子网。 比方说10.0.0.1 将DMZ虚拟机连接到网桥并静态configuration其IP(10.0.0.2,10.0.0.3等) 使用UFW, 禁止从10.0.0.0/24到任何内部主机的任何stream量, 允许来自内部主机的stream量朝向10.0.0.0/24,并使用端口转发来暴露Web上的虚拟机。 你认为这个设置是安全的吗? 你能提出任何改进或更好/更安全的方法吗?
我正在设置一个服务器机架,它将有2台Web服务器和10台提供后端应用程序支持(从AWS环境迁移)的内部服务器。 我们将在这些框上运行虚拟机实例。 在我使用的大多数企业networkingconfiguration中,他们双networking服务器,所以一个NIC位于DMZnetworking上,另一个位于内部(非互联网可路由)networking上。 安全方面的好处是否足以保证DMZ中的两台networking和双宿主机能够使用较小的12台服务器? 该应用程序是一个关键的networking应用程序。 最后要考虑的一个好处是,单独的networking降低了内部networking饱和带宽的风险,DMZnetworking可以不受影响(1Gbit接口,我们可以将2Gbit进入支持1.5Gb全状态吞吐量的防火墙)。 所以最终这就是我们所说的我认为的: