核心系统服务器是否应该能够连接到互联网进行维护/支持?

核心系统服务器是否应该能够连接到互联网进行维护/支持?

我们的几台服务器拥有 Oracle 维护许可证。我们的硬件供应商询问服务器机房是否有互联网连接。我们的政策是出于安全原因,该机房中的所有机器都与互联网隔离。但维护人员问道:“那么我们如何才能在您的服务器上进行维护工作?”

我的问题是,我们的服务器是否需要互联网连接才能像许可证验证系统一样进行维护。或者他可以离线进行吗?如果我们的生产服务器有互联网连接,这本身不是一种风险吗?

答案1

通常情况下,您需要从互联网上下载补丁,然后将其应用到服务器上。但是,最好有一个中间步骤,即将补丁复制到中间位置(甚至是 DVD),以便在互联网和数据库服务器之间传输。

如果他们只是想要服务器机房中一台可以连接到互联网的单独机器(例如用于阅读补丁说明),这是另一种选择。

最后,在可以连接到互联网的服务器上运行浏览器和将服务器实际上作为可从互联网访问的服务器之间存在差异。

这完全取决于您想要/需要的安全程度。

答案2

您的服务器连接到了具有其他可访问互联网的设备的网络。对吗?我相信其他人会不同意,但我认为不允许这些服务器直接访问互联网所提供的安全性比其他任何东西都更虚幻。

答案3

我们对无法访问互联网的客户服务器进行了大量维护。我们必须将访问所需的所有更新/补丁/软件保存在 CD/USB 上。(允许第三方携带 USB 棒/CD 本身就存在安全风险)

答案4

所有服务器都应位于 DMZ 中或至少位于防火墙后面。几乎任何防火墙都可以配置为允许来自这些服务器的传出连接(以便它们可以自行检查和下载安全补丁和其他更新)。然后由系统管理员配置防火墙,以便允许一些非常具体的传入连接。如果只是偶尔需要它们进行维护,则可以在维护完成后禁用它们。

我们使用 Linux 网关来完成这项工作,并使用 iptables 作为防火墙。但是,您的标准硬件防火墙也可以完成同样的工作。

相关内容