在负载平衡环境中,是否有必要将所有 Web 服务器都放在 DMZ 中?或者,只需将负载平衡器放在 DMZ 中就能实现所需的安全性?如果重要的话,Web 服务器和应用程序服务器是相同的 - GF、同一服务器上由 httpd 前端的 Tomcat、OAS 等...
LB->WEB/应用程序->DB
另外,如果
LB->Web服务器->应用服务器->DB
谢谢,布拉德福德
答案1
安全性取决于层次。仅依靠单一的 DMZ 技术(或任何技术)来确保安全性都是有问题的。没有两个网络是相同的,因此存在安全要求吗?
如果您将 LB 放在 DMZ 中,那么提供 DMZ 的任何内容也必须承担此负载。您的 DMZ 在做什么?数据包过滤、l7 检查、IDS 等等,还是所有这些?
您要保护什么?您要保护它免受什么侵害?您的流量负载是多少?如果您的千兆位链路达到最大容量,那么您将需要大量额外的基础设施来处理该流量。该基础设施必须具有容错能力。
为什么不强化你的操作系统,应用正确的基于主机的防火墙规则,以及在你的边缘路由器上进行一些基本的过滤。
状态防火墙也有局限性,它是另一个需要负载平衡、监控和维护的基础设施。(并且可能存在安全问题)。
安全是一个过程。除非您真正了解要保护的内容和原因,否则仅仅实施 dmz 并不能真正解决任何问题。
您可以继续添加层,但增加复杂性、降低复杂性有时会更安全,因此这是一个真正的权衡。
我见过许多网络拥有大量昂贵的网络安全设备和程序,当你询问他们是否定期进行离线数据库备份时,他们的答案却是空的。
这个答案可能提出的问题比答案还多,但这是一个简短的问题,但答案却很长。
任何回答“只需安装防火墙”的人可能都不应该回答所有问题!
答案2
我的第一反应是网络服务器应该位于 DMZ 上。
DMZ 的概念是,如果攻击成功,不会影响组织的其他部分。理想情况下,DMZ 上的任何机器都不可能进入内部/安全网络。
从 LB/Web 服务器/应用服务器组合来看,LB 可能最不容易受到成功攻击。因此,我认为这些机器应该位于 DMZ 中。
谨致问候,
若昂·米格尔·内维斯
答案3
负载均衡器。LTM 的漏洞较少,因为基本上只有 VIP 和分配给该 VIP 的端口向公众开放,而不是 LTM 本身。此外,如果您的 Web 应用程序或服务器必须对用户进行身份验证(LDAP)或任何其他 SQL 功能等,它还会减少您必须从 DMZ 向内部网络开放的端口数量。在这种情况下,也只有端口 80 或 443 从 DMZ 向内部网络开放。现在,如果它是单个 Web 服务器并且不需要对任何其他服务器进行内部访问,则可以将其放入 DMZ 中,但如果您是内部服务器并且仍然需要访问它,则无论如何都必须打开 Web 端口和/或 RDP 端口到内部网络,因此,与 DMZ 中的服务器相比,使用负载均衡器更好