我在pfsense上有一个一对一的NAT,将公共IP分配给内部IP(运行Web服务器)。 当我从内部机器打开公共IP时,它不会parsing到内部IP,而是打开路由器网页。 当我从局域网外部打开公共IP时,它将通过运行Web服务器的内部IP。 为什么我不能在内部开放公共IP?
我们有一个静态的网页应用程序,它在DMZ上的一个2008 R2非域服务器上运行大量的媒体文件。 我需要在服务器上备份媒体文件。 可信networking中服务器的当前备份机制是BackupExec代理。 备份DMZ服务器的最佳做法是什么? 我真的不觉得推送一个BackupExec客户端,并让它通过防火墙连接到可信networking上的BE服务器….
什么时候应该放置一个服务器在DMZ vs打开防火墙的端口,并保持在networking中? 我指的是活动目录服务器,IIS服务器,以及基于Windows的安装程序。 我注意到放置在DMZ中的一些问题是,它不再在域中,它没有名称服务器访问我们的内部服务器,以及一些其他的东西,使它很奇怪的工作。
我们目前已将所有电子邮件存储在内部networking中的Dovecot IMAP服务器上。 networking上的客户端机器能够连接并访问他们的电子邮件。 现在我们希望允许某些用户使用IMAP从外部连接和查看他们的电子邮件。 我们目前有一个防火墙/路由器与一个专用(未使用的)DMZ端口。 我看到它的方式有两种select: 在路由器上设置端口转发,将端口585或993上的任何IMAP请求转发给服务器; 服务器可以validation用户。 将反向代理IMAP服务器连接到路由器的DMZ; 这反过来可以将IMAP请求转发到内部networking上的服务器(在这种情况下可以selectvalidation用户名)。 有没有人对这两种方法的优点提出任何build议/意见? 我发现很难想象在三脚防火墙的DMZ中增加一个额外的反向代理的好处,因为它无论如何都是有效地进行端口转发的。 …或者我错过了什么?
在DMZ中pipe理Windows服务器的用户帐户的最佳方法是什么? 我们正在扩大我们的网站,并增加几个IIS服务器到我们的DMZ。 我宁愿不pipe理一堆本地帐户,或者另一方面,我们的内部Active Directory服务器直接暴露给DMZ。 有没有一个标准的方法来解决这个问题?
只是踢这个想法,并想看看你是否会好心指出我看不到的问题。 如果我将这个新的HyperV主机设置为普通域名成员,那么好处是显而易见的。 我可以通过SCVMMpipe理它,并且它有自己的NIC,所以理论上stream量应该与虚拟机将要使用的肮脏,肮脏的DMZ网卡隔离。 很明显,我想将虚拟networking设置为私有,从而完全隔离主机。 我相信这个文件 – 是天真的吗? 我可以推翻一些东西,因为把我的局域网和我的DMZ都插入同一个物理盒子的想法让我抽搐,但是我没有任何具体的理由。 谢谢你的想法。
如果在坐在DMZ中的Web服务器上安装wireshark,那么即使在RDP被拒绝的情况下,是否还存在可以用来获取后门服务的攻击? 我试图监视DMZnetworking服务器上的线路,但是从DMZ小组得到了回击,它打开了一个没有太多细节的后门黑客攻击
我正在考虑在思科ASA背后设置一个DMZ,它将包含大量的HTTP前端负载均衡器和SSL卸载服务 – 超过100个IP,主要集中在less量的主机上。 在过去,我将所有主机放在RFC1918专用IP上,并为每个通常在DMZ中公开的服务添加了静态映射(IP-by-IP)。 由于我们已经开始以足够快的速度添加额外的DMZ IP,使得每个IP地址单独设置变得令人讨厌,这已经变得非常烦人。 我想对其进行更改,以便整个DMZ子网设置为允许来自外部的HTTP和HTTPS – > dmz,以便负载平衡器可以根据需要抓取新的IP,而不必每次都更新ASAconfiguration。 我现在想知道的是DMZ是否在RFC1918子网上,在整个子网上使用静态NAT,还是我应该让DMZ直接分配外部IP,而仅仅依靠访问列表和身份NAT / NAT免除。 一些粗糙的ASCII艺术品: 使用直接外部IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | + —–> DMZ(1.2.3.0/24) 使用NATed IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | (1.2.3.0/24)+ —–> DMZ(10.99.0.0/24) 我看到使用NAT地址的优点是可移植性 – 如果我的上游提供者和分配改变了,我不需要重新编号我的内部DMZ。 缺点是复杂性 – 现在我必须在自己的networking内部处理内部和外部IP地址等。根据您的经验,哪种设置效果更好?
对大学计算机科学部门的安全负责根本就没有乐趣。 我解释说:通常情况下,我要求安装新的硬件系统或软件系统,这些系统或软件系统是非常实验性的,我甚至不敢把它们放在非军事区。 如果我可以避免它,并强制安装在一个有限的VLAN内,但是有时候我会得到需要访问外部世界的请求。 实际上,让这样的系统进入testing目的的世界是有意义的。 这是最新的要求:使用SIP的新开发系统正处于开发的最后阶段。 这个系统将能够与外部用户进行沟通(这就是它的目的和研究scheme),实际上医院的病人对技术的了解并不那么清楚。 所以把它开放给世界其他地方是有道理的。 我正在寻找的是那些需要处理这种高度实验性系统的经验的人,这些系统需要广泛的外部networking访问。 如何保证networking和系统的其他部分免受这个安全噩梦的影响而又不妨碍研究? 足够安置在DMZ中吗? 任何额外的预防措施? 任何其他选项,方法?
这应该是一个非常基本的问题,我试图研究它,并找不到一个坚实的答案。 假设你在DMZ中有一台Web服务器,在局域网中有一台MSSQL服务器。 国际海事组织,我一直认为是正确的是,DMZ中的networking服务器应该能够访问局域网中的MSSQL服务器(也许你必须打开防火墙端口,这将是好的IMO)。 我们的networking人员现在告诉我们,我们不能从DMZ访问局域网中的MSSQL服务器。 他们说DMZ中的任何东西都只能从局域网(和networking)访问,并且DMZ不应该访问局域网,就像networking无法访问局域网一样。 所以我的问题是,谁是对的? DMZ是否可以访问局域网? 或者,应该严格禁止从DMZ访问局域网。 所有这些假定一个典型的DMZconfiguration。