这应该是一个非常基本的问题,我尝试研究它但找不到可靠的答案。
假设您在 DMZ 中有一个 Web 服务器,在 LAN 中有一个 MSSQL 服务器。在我看来,我一直认为正确的是,DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器(也许您必须在防火墙中打开一个端口,在我看来这样就可以了)。
我们的网络人员现在告诉我们,我们无法从 DMZ 访问 LAN 中的 MSSQL 服务器。他们说 DMZ 中的任何内容都只能从 LAN(和 Web)访问,DMZ 不应访问 LAN,就像 Web 不能访问 LAN 一样。
所以我的问题是,谁是对的?DMZ 是否应该有权访问 LAN?或者,是否应该严格禁止从 DMZ 访问 LAN。所有这些都假设了一个典型的 DMZ 配置。
答案1
正确的网络安全规定 DMZ 服务器不应该对“受信任”网络有任何访问权限。受信任网络可以访问 DMZ,但反过来不行。对于像您这样的 DB 支持的 Web 服务器来说,这可能是一个问题,这就是数据库服务器最终位于 DMZ 中的原因。仅仅因为它位于 DMZ 中并不意味着它必须具有公共访问权限,您的外部防火墙仍然可以阻止对它的所有访问。但是,DB 服务器本身无法访问网络内部。
对于 MSSQL 服务器,您可能需要第二个 DMZ,因为需要与 AD DC 通信作为其正常运行的一部分(除非您使用的是 SQL 帐户而不是域集成帐户,此时这已无意义)。第二个 DMZ 将成为需要某种公共访问的 Windows 服务器的所在地,即使它首先通过 Web 服务器进行代理。网络安全人员在考虑让具有公共访问的域内机器访问 DC 时会感到困惑,这可能很难接受。然而,微软在这件事上没有留下太多选择。
答案2
理论上,我和你们网络部门的人意见一致。任何其他安排都意味着,当有人入侵网络服务器时,他们就有了一扇进入你们局域网的大门。
当然,现实也起着一定的作用 - 如果您需要从 DMZ 和 LAN 访问实时数据,那么您的选择确实很少。我可能会建议一个好的折衷方案是设置一个“肮脏的”内部子网,MSSQL 服务器等服务器可以驻留其中。该子网可以从 DMZ 和 LAN 访问,但防火墙阻止其发起与 LAN 和 DMZ 的连接。
答案3
如果您允许通过防火墙的只是从 DMZ 服务器到 MS-SQL 服务器的 SQL 连接,那么这应该不是问题。
答案4
我发布我的答案是因为我想看看它的投票情况......
DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器。如果不能,您建议如何访问 LAN 中的 MSSQL 服务器?您不能!