在为预算有限的相对较小的办公室(15-20名用户)devise和设置dmz时需要考虑什么? 通过dmz的networkingstream量将是入站smtp(毫秒交换),入站http / s(owa),出站互联网stream量。
使用Windows XP和Cisco VPN客户端版本5.0.4.xxx连接到远程客户站点。 我们可以build立连接并启动一个RDP会话,但是在1-2分钟内连接断开,VPN连接断开。 build立连接的PC在一个DMZ上,该DMZ被NAT到一个公共IP地址。 如果我们将PC直接移动到互联网上而不在DMZ上,则连接将起作用,而且我们不会遇到任何断开连接。 我们使用运行7.2.4的PIX 515E,并且从DMZ连接到其他客户站点的类似设置没有任何问题。 在客户端的VPN设置是非常基本的,使用TCP端口10000上的IPSec。不知道他们正在使用什么设备的对等,但我的猜测将是一个ASA。 有什么想法是什么问题? 发生问题时,以下是来自VPN客户端的日志。 真正的IP地址已经改为:RemotePeerIP。 4 14:39:30.593 09/23/09 Sev = Info / 4 CM / 0x63100024尝试连接服务器“RemotePeerIP” 5 14:39:30.593 09/23/09 Sev = Info / 6 CM / 0x6310002F为TCP连接分配本地TCP端口1942。 6 14:39:30.796 09/23/09 Sev = Info / 4 IPSEC / 0x63700008 IPSec驱动程序已成功启动 7 14:39:30.796 09/23/09 Sev = Info / 4 IPSEC […]
我知道DMZ应该包含服务器,作为LAN之类的可信区域和互联网或另一个DMZ之类的另一半或不可信区域之间的中间点。 基于这个声明,我们的团队已经开始在我的copmanynetworking中devise这些区域。 我们也是一家移动运营商公司。 在DMZ中,我们将安装DNS,HTTP和SMTP服务器。 现在正常的用户可以使用Web服务器来访问我们的网站,虽然他是来自信任或不信任的地区。 但是同时我们网站上的一些服务需要从移动核心networking访问。 我们担心这里的安全。 我们应该把移动服务器放在另一个DMZ上吗? 我们考虑不要把它放在DMZ中,但我们会configurationDNS将所有这些服务的请求转发到移动核心服务器中所需的服务器上。 我们将把这些服务器作为我们位于DMZ中的networking服务器的主域的子域。 现在当用户键入例如:domain1.com它将转到主networking服务器,现在有一个链接,这将需要我们移动到移动核心服务器mobile.domain1.com 可以通过不把移动networking放入dmz来实现吗? 我附上一张照片来更清楚地描述我们的想法,我希望在这个问题上提出你的build议。 谢谢。
我已经添加了一个DHCP服务器到我的ISA服务器。 DHCP服务器的目的是向DMZ(在其自己的接口上)提供地址,用于需要互联网访问但不需要成为域(内部)networking一部分的计算机。 我相信我已经正确设置了DHCP服务器,并且在ISA服务器上创build了正确的规则,但是我无法从DMZ获得地址:/ 我可以ping DMZ上的电脑就好了,如果我手动分配地址,他们可以访问互联网没有问题。 我应该采取哪些措施来解决这个问题?
供应商正在请求允许DMZ中的服务器与内部networking之间的持续tcp(而不是端口80)连接。 我对这个设置没有太多的经验。 任何人都可以阐明允许持久连接的缺点吗? 指导是非常apprciated。
我们目前有三个networking,XX163.1,XX93.1和192.168.1.1。 今天的设置是这样的: 我们现在有从互联网到XX163.1networking的PPT VPN,但真的需要通过VPN从文件服务器访问文件。 我也知道这个设置不是最佳的。 那么请问,关于如何重新devise我们的networking的build议? 机架式服务器主要是Web和数据库服务器,只有公有IP地址。
我在一个运行在Windows Server 2008 R2域上的小型企业networking上工作。 现在我们使用Cisco(Linksys)RV042路由器来处理VPN连接和一个站点站点VPN。 但是,将客户端VPN集成到ADDS中的兴趣有所增加,使用户可以使用他们的域帐户。 我也有一些备用的硬件可能重新投入使用,作为一个VPN服务器。 机器只有一个networking接口; 但是,RV042有一个冗余WAN接口,可以configuration为DMZ接口。 我想知道:我可以运行连接到DMZ的服务器,以便它可以执行VPNfunction,而RV042继续作为路由器,我的主要DC执行DHCP / DNS服务? Technet似乎并没有表明VPN服务器的双接口性质还有很大的余地,所以我希望这是一个快速的是/否的问题。 谢谢!
我正在build立一个TLS / SSLencryption(FTPS, 而不是 SFTP)的FTP服务器。 服务器将被放置在DMZ中。 这意味着它有一个接口:一个用于连接来自公司的networking和另一个(在边界路由器上静态NAT到Internet有效的IP地址)用于来自因特网的连接。 一个小的ASCII艺术来说明设置: |<—————————– DMZ ———————>| Inet <———> | border router | <——-> FTPS server <——-> Internal network 1.2.3.4 | 1.2.3.4 <NAT> 10.0.1.1 | 10.0.1.1 10.0.2.2 主动模式运作良好。 但是对于被动模式,FTP服务器必须将其IP地址发送给客户端。 首先问题是服务器不知道它的外部地址(1.2.3.4),只有DMZ-external (10.0.1.1)。 FTP服务器软件允许设置这个地址(在纯ftpd中的ForceIpAddress),但是在这种情况下,来自内部networking的用户将无法使用这个FTP(因为它会将它们发送到1.2.3.4而不是10.0.2.2) 那么问题是,如果根据客户端IP地址或接口有selectIP发送的方法,请求来了? 请注意,如果客户端从Internet连接,他应该获得互联网有效的IP地址(1.2.3.4)在服务器的内部(10.0.1.1)。 我使用纯粹的ftpd,但可以改变为其他任何东西。 我在不同的端口上使用了两台FTP服务器,并使用iptablesredirect了请求,但这不是最好的方式。 一些FTP客户端(例如WinSCP)也允许强制服务器的地址,但不是全部。 任何选项来解决这种情况?
这个问题类似于: 刀片机箱,多刀片服务器,最接近DMZ的近似值是多less? 在我的情况下,我没有虚拟化,所以我不能像上面的问题的答案中所build议的那样使用vLAN。 所以我在一个机箱里有几个刀片 一些刀片应该是DMZ的一部分,一些刀片应该在DMZ的内部networking中。 所有刀片通过机箱互连是否存在安全问题? 我应该在每个刀片上运行防火墙来限制对内部机箱networking的访问吗? 我将使用运行Linux的HP刀片。
我们有一个坐在我们的DMZ内的apache实例,它被configuration为将请求代理到我们networking内部的一个NATed tomcat实例。 它工作正常,但然后突然从Apache请求的Tomcat实例停止通过在Apache日志中的以下内容: [错误](70007)指定的超时已过期:ajp_ilink_receive()无法接收标题 调查思科日志查看器显示以下内容: 错误消息: %ASA-6-106015:拒绝来自IP_地址/端口的TCP(无连接)到IP_地址/端口在接口interface_name上标记tcp_flags。 说明自适应安全设备放弃了自适应安全设备连接表中没有关联连接的TCP数据包。 自适应安全设备在数据包中查找SYN标志,这表示build立新连接的请求。 如果SYN标志未设置,并且没有现有的连接,则自适应安全设备会丢弃该数据包。 build议的操作除非自适应安全设备收到大量的这些无效的TCP数据包,否则不需要。 如果是这种情况,请将数据包跟踪到源,并确定这些数据包发送的原因。 所有机器都使用VMware进行虚拟化,默认情况下,机器一直使用Intel E1000模拟NIC。 我们的networkingpipe理员已经改变了这个VMXNET3驱动程序,试图纠正这个问题,我们只能等待,看看问题是否持续,因为这是一个间歇性的问题。 还有别的可能导致这个问题吗? 这不是我们遇到类似问题的第一个服务。 我们的apache主机运行Ubuntu 11.10,内核版本为3.0.0-17-server。 我们在运行内核2.6.18-308.16.1.el5的RHEL5(5.8)上也有这个问题,这台机器也有E1000网卡。 注意 :我不是networkingpipe理员,是负责这些系统的软件架构师和分析程序员。