目前,我有一台 Web/应用服务器和一台数据库服务器。除了外部网络之外,我还想拥有一个私有网络。我希望我的数据库只能通过 Web 应用服务在内部域上访问。我首先将我的 WEB/应用服务器设为域控制器,然后将数据库添加到与外部域名称不同的域中。
我是否应该将数据库服务器设为域控制器?我的数据服务器也有一个用于 RDC 的公共 IP。我该如何构建域,以确保外部请求最终只会在 WebServer 上运行 WebApplication,而不是在我的私有网络上运行?
一切似乎都结束了。考虑到我以后要添加更多服务器,我希望得到一些关于如何配置的指导。
答案1
通常你会为这样的事情设置一个 DMZ。将 DC 和数据库服务器放在防火墙的受信任侧。
然后将您的 Web 服务器放入 DMZ 中,并且仅打开从 DMZ 到 Trust 的端口,这些端口是域正常工作(DNS 等)以及 Web 服务器与数据库服务器通信所需的。
然后您将打开 Web 服务器所需的端口,从 Untrust(外部流量)到 DMZ。
关于关键数据库服务器是否应该位于防火墙的受信任端或 DMZ 中存在一些争论,这实际上取决于情况,但如果它们包含关键数据,我倾向于将它们置于 DMZ 之外。
数据库服务器放置的利弊在于,DMZ 服务器更容易受到攻击,因为它们通常有更多面向互联网的服务。即使您的数据库服务器没有面向互联网的服务,它也更容易受到攻击。因此,在受信任接口(内部网络)内更安全。但是,您将从受信任端将服务器连接到 DMZ,这可能会使您的受信任网络暴露于恶意活动。如果您仅公开数据库连接所需的端口,这种风险通常很小。这就是为什么我个人更喜欢将数据库服务器保留在受信任接口内,并仅向 DMZ 打开必要的端口。