说到安全性,VLAN ACL,防火墙DMZ策略等我是一个新手。 所以任何帮助将不胜感激。 我们正在尝试构build我们的networking,将我们所有可访问的networking服务器放置在DMZ中。 我们有Watchguard防火墙和戴尔三层交换机。 我们所有的Web服务器都是虚拟的,并托pipe在Hyper-V群集上。 我们在三层交换机上build立了两个新的VLAN,分别是DMZ(VLAN 210)和CMZ(VLAN 211),每个VLAN都有自己的子网172.20.XX范围。 我们的Web服务器每个都有两个networking接口,每个新的VLAN都有一个接口。 我们试图通过三层交换机上的ACL规则阻止所有对局域网的访问,只允许访问位于其自己VLAN 200中的防火墙。在防火墙上,我们已经build立了VLAN子网。 在VLAN 210上,我们只希望能够访问互联网的Windows更新,因为我们的Web服务器不会join域。 在VLAn 211上,我们希望允许通过防火墙访问所需的内部服务器。 当我们没有任何适用于210和211的ACL规则时,我们可以ping所有内部服务器,并在Web服务器上获得Internet。 当我们应用阻止所有内部子网但允许所有其他子网的ACL时,似乎没有任何工作正常。 我们试图在Web服务器上做一些“路由添加”,让它们指向正确的内部服务器,但是再次,在ACL已经到位的情况下,似乎没有任何工作。 我的两个开始的问题是:我们正在试图做什么似乎是一个很好的方式去与我们的硬件? 我们是否需要在三层交换机上进行一些路由才能使其工作? 到目前为止,我还没有做,也不知道如何。 谢谢!!
我有两个Rx300服务器与Esxi,我想用其中的一个作为Web虚拟服务器与2虚拟机运行: – 邮件服务器 – 企业网站和电子商务的WEB服务器。 esxi服务器有一个带有SAN的iscsiconfiguration,到目前为止,所有的东西都在企业其余部分的同一个局域网中(物理连接到中央局域网交换机)。 我有一个DMZ端口和DMZconfiguration的路由器/防火墙。 我的问题是: 通过将Esxi + SAN物理连接到连接到防火墙的DMZ端口的新交换机,我是否被迫把所有的Esxi + SAN放在DMZ中? 还是我可以把Esx + SAN连接到局端交换机,并在防火墙上进行一些安全configuration,以获得相同的安全级别? 这种情况下最好的做法是什么? 在将来,我也希望使用这个Esxi服务器也为虚拟机运行LAN端应用程序。 是否有可能build立一个混合的基础设施?
我有一个DirectAccess服务器与DMZ中的Windows Server 2012 R2和其他服务,如Active Directory(位于子域)和内部区域的PKI基础设施。 当我尝试应用远程访问设置中的“ 使用计算机证书 ”设置以使Windows 7客户端计算机通过DirectAccess连接时,出现此错误。 我应用最后的更改时出现此错误: https://1drv.ms/i/s!AlOAAiRBk3lngaIfFMh-TPu5uRFzWw 在事件查看器中,我只能得到这个: https://1drv.ms/i/s!AlOAAiRBk3lngaIgv5u8kAQ7ZpSnPg 有谁知道为什么这个错误可能会发生?
我试图根据微软的最佳实践在DMZ中设置一个ADFS代理,但并不真正了解这是如何做到的。 基本前提是服务器放置在DMZ中,并且来自互联网的所有HTTPSstream量都被转发到该服务器。 此服务器然后与内部networking上的ADFS服务器进行通信。 现在,这是否意味着ADFS代理服务器有两个网卡,每个都在各自的networking中? 或者我需要在两个区域之间设置路由? 如果是这样的话,我将不得不在DMZ中的ADFS代理上设置默认路由。 任何见解或提示,不胜感激。
想象一下,我有这样的设置: 应用程序服务器 私有IP: 1.0.0.1 ; 私有主机名: machine1.internal.domain 公共IP: 2.0.0.1 ; 公共主机名: machine1.example.com 数据库服务器 私有IP: 1.0.0.2 ; 私有主机名: machine2.internal.domain 公共IP: 2.0.0.2 ; 公共主机名: machine2.example.com 这两台机器都在DMZ中。 Machine1需要使用内部主机名连接到machine2。 有一点很重要:我们不希望这两者之间有任何交通stream量进入非军事区。 并且主机名machine2.internal.domain在机器#1上运行的应用程序中被硬编码。 没有Dockerized设置: 案例#1:如果名称parsing适用于machine2.internal.domain ,一切都已经好了。 案例#2:否则,我会在machine1中的/etc/hosts中添加一个条目: machine2.internal.domain 1.0.0.2 使用Docker化设置,我知道名称parsing不起作用时,Docker容器无法访问machine2,因为它不会inheritance/etc/hosts的/etc/hosts的条目。 我怎样才能使这件事情最好的方式? …对于这两种情况:DNSparsing工作,不工作。 我已经审查了案例2的以下选项: 将machine2的IP传递给machine1中的Docker容器: docker run –add-host machine2.internal.domain:1.0.0.2 … 我必须定义两次machine2.internal.domain IP:一次在/etc/hosts ,一次在Docker中运行命令 不包含在machine1中的容器的networking: docker blabla –net=host 虽然我不知道后果会是什么,但这并不正确。
我们是一个小企业,已经成功地运行了一个Hyper-V 2012 R2虚拟主机,它拥有许多Windows Server 2012 VMS,包括一个DC,Web服务器,CRM服务器和SQL Server几年。 对于networking,我们有一个Draytek 2860,2个物理交换机和千兆。 我们现在还没有一个IT部门 – 但是我主要是一个编码人员,但是我确实在系统和networking上做了一些工作(我计划并完成了上面的设置),但是没有足够的知识来确认我的研发,所以谢谢serverfault现有的:) 随着我们的stream量增长,我发现在工作时间,networking性能受到各种内部和外部stream量的影响。 所以,这个周末我开始了一个改善networking可靠性的旅程,同时也部署了一个DMZ区域,通过互联网进行升级和testing。 因此,在阅读了有关路由器(Draytek 2860),Hyper-Vnetworking和Vlans的大量阅读后,我提出了以下设置,希望今天能够成功整合,明天大家回来之前: '从左到右阅读,好像在同一行中的列之间有链接。 请注意: 我希望DMZ上的服务器能够被域控制并可以访问一些IT服务器,比如SQL Server。 所有子网/ vlan将在“it&dev”vlan上共享相同的DNS服务器,第二个将是路由器,例如191.168.1.1 DMZ子网/ vlan只能访问“it&dev”vlan Lan3适用于在路由器上连接到单独的无线SSID的客人,但应能访问DMZ子网,例如进入项目演示的客户端。 我的VMHost有3个物理网卡 – 提前购买;) 所以我正在寻找的问题/澄清是: 将用户stream量从“it&dev”和“user&devices”stream量中分离出来,成为vlan,这是提高性能的明智方法吗? 这对我有意义,但只是寻求确认。 这个路由器有局域网路由,从我可以理解的是NATfunction有互联局域网/ vlans路由。 但是,我仍然需要使用静态路由,或者互联网路由将足以进行正常的stream量吗? 我目前只有一个DC1,但是在考虑部署第二个DC1,你认为在“用户&设备”VLAN和另一个在“it&dev”vlan上是一个好主意,还是应该在同一个VLAN? 请记住,DMZ将无法访问“用户和设备vlan”,只有“it&dev”一个。 如果DMZ上的服务器无法find辅助DC,这是否是坏的,因为这是在“用户和设备的VLAN”? 我不考虑存储uyt(SAN的或类似的东西),但我正在认真考虑的文件服务器,虚拟机和内部备份,你可以指出我在一个合理的(成本和设置)解决scheme的正确方向吗? 我也考虑有另一个物理虚拟主机,我应该分开vms每个vlan? 例如有一个vmhost用户vms和另一个vmhost dev和dmz vms? 如果有任何事情,缺点,陷阱或事情,我应该知道,而实施这一点,请让我知道。
我有两个VPS,其中一个在第二个上安装了OpenVPN Access Server和vpn客户端。 当我将客户端连接到OpenVPN AS时,我无法从其公共IP地址访问安装在客户端上的apache。 我的愿望是在客户端服务器上使用公共互联网上的某些服务,例如apache和postfix,同时在本机上安装其他服务。 我怎样才能做到这一点 ? 这里是我的/etc/iproute2/rt_tables # # reserved values # 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep 1 inet 当客户端断开时, ip route show给出: default via <router_ip> dev <ext_if> <netw_addr> via <router_ip> dev <ext_if> <netw_addr> dev <ext_if> proto kernel scope link src <public_ip> 当客户端连接时, ip […]
我们有一个供应商提供的应用程序在Windows / MS-SQL 2012服务器上内部运行(LAN),通过IIS在同一个盒子上提供访问。 该应用程序能够存储附加文件 – 这些文件实际上保存在该服务器上的共享中。 有一个新的组件,我们正在努力工作 – 一个基于DMZ的2008R2 / IIS 7.5服务器,旨在提供可下载访问相同的文件,但外部用户。 我们正在努力获取权限,以便DMZ服务器可以访问内部共享,我想知道我们正在努力做什么是不可能的。 供应商正试图使用NetworkService帐户来访问文件,但由于DMZ服务器不是任何域的一部分,我们正努力设置适当的内部共享权限(我甚至试图给每个人完全访问内部共享目录)。 情况很复杂,我们不能“pipe理”networking/防火墙基础设施。 我一直在阅读关于应用程序池帐户和其他方式的事情,但这不是我最大的专业领域,我怀疑这些厂商也在苦苦挣扎。 我们的networking/防火墙设置似乎比他们的内部实验室复杂一些,他们提出的一些build议似乎被误导了(当我们指出我们的防火墙可能阻塞一个端口时,他们谈到了内置的Windows防火墙)。 我们是在1.0.0.1版本的系统的早期采用者 如果有助于更好地理解,我们已经从非军事区打开了端口445到内部服务器。 这允许DMZ服务器尝试并获取内部文档(当外部用户单击应用程序中的超链接时),但由于没有权限(我相信)出现错误,因此它失败: 访问path“\ servername \ sharename \ documentfolder \ 9f4585db-14b9-4a93-8b4b-bfd12b5f5930.pdf”被拒绝。 任何人都可以提供任何帮助/指导? 我很乐意尽可能提供更多信息。 提前谢谢了。
在VMware环境中,网关(pfSense DMZ)和Ubuntu服务器16.04.1 LTS之间存在连接问题(无法ping通)。 Pfsense从LAN子网192.168.1.0/24正常工作,但不是从DMZ子网10.10.10.0/24 我认为我已经正确configuration了防火墙的一面(pfsense),但是对于VMware来说是新的,所以我想我可能会在VMware环境和/或Ubuntu服务器中丢失一些东西? Ubuntu服务器有一个IP地址10.10.10.6 pfSense webdmz网关有一个IP地址10.10.10.3 纵观vSwitch2(局域网)上的拓扑,我在vmnic5上连接一台电脑,我可以上网没有问题。 但是在vSwitch3(WEBDMZ)上,我无法ping 10.10.10.6到10.10.10.3,反之亦然。 有人遇到过同样的问题吗? 拓扑结构: 防火墙DMZconfiguration和ubuntu界面:
系统快速浏览: 我有一个业务(IT)域和一个过程控制networking(PCN)域,通过一对防火墙和一个DMZ(也是PCN域的DMZ服务器部分)连接起来。 PCN域名服务器是2016年。IT是各种工作站和服务器的组合。 我希望允许IT用户通过DMZ中的RD网关从PCN上的RDS访问工厂控制HMI的仅查看会话。 这是直截了当,直到我获得许可。 这些用户已经通过ITnetworking上的RD许可服务器获得了IT RD用户的许可。 我想我在这里有两个select,要么: 允许域之间的双向信任,以便PCN上的RDS可以使用IT许可证服务器,或者 购买新的RDP用户CAL并在PCN上为此设置许可证服务器。 备选scheme1的关注是networking之间的安全性降低。 对于选项2,这是成本。 但现在我想知道是否可以在ITnetworking中build立另一个RDS,成为客户端的第一跳,然后用HMI应用程序(即嵌套的RDP会话)从那里向PCN RDS发起RDP会话。 然后我可以做一个基于设备的RDP CAL分配给IT RDS,并由PCN(device = IT RDS)中的许可证服务器托pipe。 我不认为这是多路复用,因为我仍然在IT域中分配基于用户的RDP CAL(以及PCN域中的设备RDS CAL)。 明显的缺点是没有设备,打印机等的传递,性能略有下降 – 但我认为这样可以。 关于这个问题,我没有一个非常具体的问题,而不是我是否错过了一些明显的东西,使它不能工作或者有其他一些致命的缺陷。 我想我也把它放在那里,以防有人有更好的解决scheme。