我们有一个有点静态的 Web 应用程序,其中包含大量媒体文件,该应用程序在 DMZ 上的 2008 R2 非域服务器上运行。我需要备份服务器上的媒体文件。受信任网络上的服务器的当前备份机制是 BackupExec 代理。
备份 DMZ 服务器的最佳做法是什么?我不太愿意将 BackupExec 客户端推送到它,并让它通过防火墙重新连接到受信任网络上的 BE 服务器....
答案1
使用 SSH 上的 RSync 或其他合适且安全的文件传输方法将文件从生产 DMZ 计算机传输到您的内部网络。然后备份。
根据您的安全立场,您需要确定是否可以打开用于双向传输的端口。如果只有一个,您的安全立场将决定哪个方向。让 DMZ 计算机(您的生产网站)启动并将这些文件推送到您的内部网络是否更安全?或者,让您的内部网络启动并从 DMZ 计算机提取文件是否更安全?
无论哪种方式,所使用的帐户都应具有执行传输所需的最小权限,这样如果帐户受到威胁,它造成的损害不会比删除文件和可能填满磁盘更大。
- 综上所述,这与允许 BE 协议和数据移动数据有何不同?