现在,我有一个Web / App服务器和一个数据库服务器。 除了外部networking之外,我想拥有一个专用networking。 我希望我的数据库只能在Web应用程序服务的内部域上访问。 我开始使我的WEB /应用程序服务器是一个域控制器,并简单地将数据库添加到与外部域名称不同的域。
我应该把数据库服务器变成域控制器吗? 我的DataServer也有RDC的公共IP。 如何继续构build域,以确保外部请求只能在Web服务器上运行WebApplication,而不在我的专用networking中运行?
这一切似乎都是为了安慰。 我将不胜感激一些指导如何configuration考虑到我添加更多的服务器的道路上。
通常你会有一个像这样的DMZ。 让DC和数据库服务器位于防火墙的可信任端。
然后将您的Web服务器放在DMZ中,并且只打开域需要正确工作(DNS等)以及Web服务器与数据库服务器通信所需的从DMZ到Trust的端口。
然后,您将从Untrust(外部stream量)打开Web服务器所需的端口到DMZ。
关于关键的数据库服务器是否应该实际位于防火墙的可信任的一方或者在DMZ中,有一些争论,这取决于它,但是如果它们包含关键数据,我更愿意将它们放在DMZ之外。
数据库服务器布局的优缺点在于,DMZ服务器更容易受到攻击,因为它们通常面临着更多的服务。 这将使您的数据库服务器更可能受到攻击,即使它没有面向Internet的服务。 所以在可信接口(内部networking)内更安全。 但是,您将可信任的服务器连接到DMZ,可能会将您的可信networking暴露给恶意活动。 如果只暴露数据库连接所需的端口,则通常这个风险是最小的。 这就是为什么我个人更喜欢数据库服务器保持在受信任的接口内,只是打开必要的DMZ端口。