我需要保护即将公开的内部网络服务器和 SQL 数据库(www)。在此阶段,我只希望提供合理数量的安全性($$),直到它变得更大,然后才能完成进一步的工作。
由于服务器位于企业局域网内部,因此 Web 服务器将被移至 DMZ,并打开\关闭正确的端口。
那么问题是,sql 服务器应该留在局域网内还是移到 DMZ?我认为将数据库留在局域网内以分离关注点是有意义的,其他人怎么看?
*请记住,我正在考虑现阶段合理的安全性,但目前还不考虑添加额外的内部防火墙。
答案1
根据我的经验,最糟糕的选择是将数据库存储在 DMZ 中,因为这具有最大的表面积,因此一定要将其保存在内部 LAN 上 - 我相信文章中的评论已经解释过了,更好的模型是将数据库服务器放在他们自己的网络段上,因为这随后将允许更好的流量分析,但正如您提到的那样,还没有增加防火墙,您是否能够使用现有基础设施将它们 VLAN 到新段中?
不言而喻,但强烈建议将 CIS 强化标准应用于您的 Web 和 DB 服务器 - 我知道您只询问了分段,但如果您关注安全性,这些是开始配置的一种很好的免费方法: