我一直在阅读有关内联网,外联网,DMZ和VPN的内容,而且我需要一些与外联网和DMZ相关的说明。 我知道它们是不同types的概念 – 外部网允许有限的访问一些内部网资源,而DMZ是位于互联网和内部网之间的一个子网,并承载外部服务。 但是,我想知道在通常的设置中他们在实践中的区别是什么? 关于外联网的维基百科文章说,外联网与DMZ类似,因为它们被用于相同的目的(提供访问一些服务/资源而不暴露整个内联网)。 文章还指出,外部networking是VPN的一部分, 这篇TechNet文章还指出,外部networking访问通常类似于远程内部网访问,例如使用VPN。 TechNet文章还指出,外联网通常位于DMZ内部。 Pearson的这篇文章说:“尽pipe[DMZ]技术上位于内联网之内,它也可以作为外联网”。 这有点混乱。 考虑这种情况:一个公司在DMZ中有一个B2C网站。 该网站可以从任何地方访问,但需要用户authentication。 底层Web应用程序在Intranet中有其数据库,并且还与Intranet中托pipe的一些Web服务(即访问Intranet资源)进行交互。 我的看法是,网站确实有效地提供了访问内部网的限制。 但是它可以被认为是一个外联网? 如果我们从维基百科定义一个外联网的字面意思 – “一个外联网是一个计算机networking,允许从外部组织的内部网的受控访问” – 我认为它可以。 假设上述内容不能被视为外联网。 如果我们稍微改变这个场景,并且说它是一个B2B网站,那么访问只限于来自特定业务合作伙伴的连接(例如使用站点到站点的VPN)。 在这种情况下,它肯定是一个外联网,对吧? 如果是这种情况,那么Extranet服务和DMZ中托pipe的任何其他服务之间的区别仅仅是访问限制?
我们的networkingpipe理员坚持认为,我们在DMZ中托pipe的Web服务器不安全,无法访问防火墙后面的数据库服务器。 为了解决这个问题,我们通过Web服务或WCF访问数据。 我觉得这是一个不必要的性能负担,如果Web服务器可以直接访问数据库就可以消除。 我给出的理由是黑客能够login到Web服务器,然后访问数据库。 有没有可能只打开端口的IIS或不可能是具体的? 如果我们可以将其locking到IIS,那么黑客可以很容易地构build它吗? 我已经阅读了互联网上的各种post,但我似乎无法find一个明确的答案。 人
我们目前有我们的networking服务器在一个DMZ。 Web服务器在内部networking中看不到任何东西,但内部networking可以看到Web服务器。 在DMZ和内部networking之间的防火墙上打一个洞到内部网中的一个Web服务器有多安全? 我们正在研究一些将与我们的后台应用程序(都在一个服务器上)进行交互的东西,如果我们可以直接与持有这些数据的IBM i服务器进行通信,通过networking服务)。 从我的理解(我不知道品牌),我们有一个DMZ的防火墙,与另一个防火墙的主IP不同的外部IP。 另一个防火墙位于Web服务器和Intranet之间。 所以像这样: Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2