我有以下提议的networkingdevise,我将执行。 所有连接服务器和PC都通过一个多function的思科防火墙连接 只有一个高端服务器将被使用。 该服务器有两个NIC。 虚拟化将被使用 从防火墙连接到服务器的DMZ0networking端口。 (虚拟http服务器将使用此端口) PC连接到来自防火墙的交换机,该networking是私有的 服务器将有另一个NIC端口连接到交换机,服务器不暴露在DMZnetworking,将使用此。 问题: 我一直在玩这个设置的虚拟化软件,Xen云平台会为这个图表工作吗? 这种使用两个NIC的networking的物理分离是否可以用于服务器? 它能与Xen云平台一起工作吗? 这个设置可能会遇到其他问题吗?
我正在尝试使用IPCopconfigurationDMZ,但看起来IPCop的DMZ默认configuration没有DHCP,也没有访问Internet的权限。 即使当我手动configurationIPCop作为我的默认网关和DNSparsing器时,似乎没有从DMZconfiguration到Internet的NAT(只有另一种方式)。 我想知道在DMZ内上网的优点和缺点。 优点 我可以轻松地在DMZ系统上运行更新,甚至安排自动修补安全更新 通过只下载必要的软件包而不是从CDROM安装,安装Ubuntu系统会容易得多 缺点 如果被攻破,机器可以被用作DDoS攻击的一部分 除了“如果有人妥协我的机器,它可以用来危害互联网上的其他人”这个单一的论点,我没有理由不让我的DMZ机器访问互联网。 这是一个坏主意吗?
我们正在迁移到一个新的办公室,部分是审查我们目前的LAN / WAN和服务器访问networking。 我了解DMZ是如何工作的,但是不知道是否需要在我的两个防火墙之间放置物理服务器/主机,或者我可以使用vNic对DMZ和服务器/虚拟服务器进行子网划分/ vNic。 今天我们有一个单一的路由器和单个防火墙。 它背后是我们所有的服务器,应用程序服务器,DC,VM主机等。 我今天有2个应用程序(在虚拟服务器上),可以从networking访问(防火墙打孔)。 两者都不使用AD凭证,并且与本地DB用户一起工作(不需要AD凭证)。 两者都是(当前)3个VM主机中的1个虚拟服务器。 我想把这两个应用程序移到DMZ中。 这将至less需要一个IIS。 放置一个具有2个NIC的物理VM主机服务器似乎有点奇怪(该主机将容纳我需要的尽可能多的服务器/应用程序服务器) 这是一个单一的失败点 并不觉得正确(即使它可以/应该工作) 另一方面,我可以在我的主机中创build一个vNic,并将其IP映射到两个Firwalls。 router > wan_firewall_dmz > vNic to server > dmz_firewall_lan >给了我更less的安全感,因为某种原因,我有一种感觉,我错过了DMZ的想法。 那是对的吗? 我错过了什么?
我需要find一个防火墙,将给我1个LAN端口,和5-7个DMZ端口。 我有一个要求来replace一些用来运行一些testing设备的FreeBSD系统。 DMZ端口之间不能互相通信是非常重要的,但LAN端口可以与每个人进行通信。 这样局域网上的用户可以连接到testing系统,但testing系统完全隔离,不能相互干扰。 其中一个DMZ将连接到VMWare ESXi服务器,一个连接到标准服务器,其余连接到各种types的设备。 LAN端口将连接到企业LAN交换机。 对不起,如果我有点模糊,我只是想自己工作! 目前我们已经configuration了FreeBSD,但是四端口网卡非常昂贵,而且PC本身就是旧的,所以我宁愿用一个可以做同样工作但更可靠的专用工具包来代替它。 这些testing台被广泛使用,经常移动,所以我的目标是思科工具包,以便于configuration和硬件本身的可靠性。 谢谢
好的,这是一个有趣的问题。 分两部分: 在生产环境中运行TMG作为hyper-v guest是否明智? (有些东西在唠叨我,这不是一个好主意,但有可能让一个虚拟机独占访问一个网卡,在技术上,“主机”只是另一个有特殊权限的客人)。 如果将TMG作为hyper-v来宾运行,我应该将主机放在内部networking还是DMZ足够安全? 我的担心很明显,主机可能被认为是一个薄弱的环节。 DMZ在NAT后面,我不给主机任何外部访问。 我只给内部机器访问主机。 这是足够的,还是应该把主机内部? 或者回到第一点,我应该把这个想法完全放弃,把TMG放在一个单独的物理机器上吗? (所以我撒谎,我想这是三部分)。 澄清我的devise如下(所有在物理盒子上运行) 计算机A – Hyper-V主机无法访问通过Hyper-V创build的仅主机NICS虚拟networking。 也运行(目前)DMZ DC与单向信任到内部域。 和DNS / DHCP的内部。 仅连接到DMZ虚拟networking。 机器B – TMG访客机器三脚configuration:外部连接到分配有公共IP的物理网卡。 内部和DMZ都连接到虚拟networking。 防火墙规则允许机器A处理与内部DC / DNS的AD通信。 DMZ的物理网卡也连接到无线AP。 机器C- ?? 内部networking服务和客户端它们连接到内部虚拟networking,并根据具体情况进行访问。 一切工作正常,我只是想确保我没有在这个configuration的networking中创build一个大洞。
我试图设置通常的事情,使用包含可以从互联网访问的服务器的DMZ和尽可能安全的局域网。 我碰巧在build筑上也有完全的自由。 鉴于我想让我的局域网尽可能地安全,我自己对自己说:“有什么能比从DMZ无法访问局域网更好”。 为此,我将configuration防火墙以阻止在DMZ-> LAN方向上的任何传入连接。 当然,我仍然需要我的前端应用程序在DMZ中联系受信任的局域网服务器。 为了使这成为可能,我想只允许在LAN-> DMZ方向build立连接。 这意味着,在通常情况下,我的信任LAN服务将连接到不受信任的DMZ前端服务器。 一旦build立了TCP连接,两个端点之间的所有请求和响应将在该连接上复用。 这在安全方面是一个好主意吗? 还有什么我可以做我的局域网服务器更难达到? 你有没有听说别人已经这样保护自己的局域网? 难道让我觉得这是一个愚蠢的想法吗?
我们有一个很大的服务器networking。 find所有面向互联网的服务器的最简单方法是什么? 手动检查每个服务器不是一个选项。
我是一个小型托pipe公司的兼职系统pipe理员,目前有20个不同的公共服务器。 我们有一个27个子网块,它给了我们最多30个可用的IP地址。 我知道的很多,但是如何最大限度地增加可用于Cisco ASA(5510)上的DMZ的IP数? ASA的外部接口需要公共IP之一,对吗? 我可以将其余的IP分配给DMZ接口吗? 我已经读了DMZ子网:去NAT或不去NAT? 问题,并意识到nating并不坏,但我更愿意在DMZ接口上创build一个具有公共IP地址的子网。 我只是不知道如何才能做到这一点,而不浪费IP地址…对不起,问一个可能微不足道的问题。 更多背景信息:我们即将切换ISP(以降低带宽成本),这将使我们的公共IP范围从25个子网块减less到27个子网块。 旧的设置很简单,但浪费IP地址。 现在我需要更加小心,而且我的networking技能还不够。
我们正在build立一个DMZ,我偶然发现如何处理那些需要端口暴露在互联网上的机器,同时也能够向我们的内部环境提出LDAP请求。 我们有一些Linux应用程序只能通过LDAP请求来validation用户身份。 我不确定是否可以configurationKerboros(还在检查),但是我相信它必须通过直接LDAP查询来完成。 对于需要使用LDAP的机器,您可以推荐使用哪种机制,并且可以同时直接暴露给内部? 提前致谢!
(请原谅,如果这是张贴在一个不正确的论坛,我们不知道到哪里发布。 我们有一个ASP.NET Web API单页面应用程序 – 一个在IIS中运行的基于浏览器的应用程序,用于提供HTML5 / CSS3 / JavaScript,与ASP.NET Web API端点进行通信,以访问数据库和传输JSON数据。 在我们的开发环境中,所有的工作都很好 – 也就是说,我们有一个带有ASP.NET Web API项目的Visual Studio解决scheme和两个用于数据访问的类库项目。 在开发框上进行开发和testing时,使用IIS Express到localhost:port来运行网站并访问Web API,一切都很好。 现在,我们需要将其转移到生产环境中(而且我们遇到了问题 – 或者只是不了解需要完成的工作)。 生产环境都是内部的(没有什么会暴露在公共的互联网上)。 有两个域。 一个域即企业域是所有用户正常login的地方。 另一个域(进程域)包含我们的应用程序和Web API将需要访问的SQL Server实例。 IT人员希望在这两个域之间放置一个DMZ以容纳IIS应用程序,并且防止企业域用户直接访问进程域。 所以,我猜他们想要的是: corp域(最终用户)< – >防火墙(打开端口80)< – > DMZ(运行IIS的Web服务器)< – >防火墙(打开端口80或1433 ????)< – >进程域(IIS for Web API和SQL Server) 我们是开发人员,并没有真正理解所有的networking方面,所以我们想知道如何在这种情况下部署我们的浏览器/ Web API应用程序。 我们是否需要拆分我们的应用程序,以便所有客户端代码(HTML5 / CSS3 / JavaScript […]