我希望获得一些有关为托管网站/网络服务的中型公司提供网络布局的建议。
目前,我有以下布局......网络布局
我希望私有区域(绿色)用于数据库,公共区域(蓝色)用于 Web 服务器。IIS 服务器有两个 NICS;我希望一个是公共的,另一个是本地的,当需要信息时访问数据库。私有区域中的防火墙用于 VPN/远程访问。任何建议都将不胜感激。
交换机是 Dell Powerconnect 5424(专用)和 Dell Powerconnect 2848(公用),网络外部的防火墙是 Juniper。网络内部的 VPN 防火墙是 Watchdog。
答案1
如果 Web 服务器与数据库服务器位于同一个 LAN 上,则私有和公共服务器之间的分离就不大。更常见的做法是,在两者之间设置防火墙,只允许数据库端口和远程访问端口通过防火墙(以及保持域正常运行所需的一切)。
重点是,如果有人入侵了您的网络服务器,他们几乎无法访问您的数据库服务器。从您的图表可以看出,如果有人入侵了网络服务器,他们可以通过第二个 NIC 完全访问数据库服务器。
如果可以的话,我会考虑使用 VLAN 在两个网络之间设置 Juniper 防火墙,或者将 Watchdog 移到两个网络之间。