这应该是一个非常基本的问题,我尝试对其进行研究,但找不到可靠的答案。
假设您在DMZ中有一个Web服务器,在LAN中有一个MSSQL服务器。IMO(我一直认为是正确的)是DMZ中的Web服务器应该能够访问LAN中的MSSQL服务器(也许您必须在防火墙中打开一个端口,好的IMO)。
我们的网络人员现在告诉我们,我们无法从DMZ访问LAN中的MSSQL服务器。他们说,只能从LAN(和Web)访问DMZ中的任何内容,并且DMZ不能访问LAN,就像Web无法访问LAN一样。
所以我的问题是,谁是对的?DMZ是否应该访问LAN或从LAN访问?或者,应严格禁止从DMZ访问LAN。所有这些都假定为典型的DMZ配置。
Answers:
适当的网络安全性表明DMZ服务器不应具有对“受信任”网络的任何访问权限。受信任的网络可以到达DMZ,但反之则不行。对于像您这样的支持DB的Web服务器,这可能是一个问题,这就是为什么数据库服务器最终位于DMZ中。仅仅因为它位于DMZ中并不意味着它可以具有公共访问权限,您的外部防火墙仍可以阻止所有对其的访问。但是,数据库服务器本身无法访问网络内部。
对于MSSQL服务器,由于需要将AD DC作为其正常功能的一部分,因此您可能需要第二个DMZ(除非您使用的是SQL帐户而不是域集成的,否则就没有意义了)。第二个DMZ将成为需要某种公共访问权限的Windows服务器的所在地,即使该DMZ首先通过Web服务器代理也是如此。当网络安全人员认为域计算机正在经历公共访问而获得DC的访问权时,他们会变得很肮脏。但是,Microsoft在此问题上没有太多选择。
从理论上讲,我与您的网络伙伴在一起。任何其他安排都意味着,当有人破坏Web服务器时,他们就会进入您的LAN。
当然,现实必须发挥作用-如果您需要可同时从DMZ和LAN访问的实时数据,那么您实际上没有什么选择。我可能会建议,一个很好的折衷办法是使用“脏”内部子网,以便MSSQL服务器之类的服务器可以生存。可以从DMZ和LAN都访问该子网,但是不能通过防火墙启动与LAN和DMZ的连接。
如果让您通过防火墙的只是从DMZ服务器到MS-SQL服务器的SQL连接,那么这应该不是问题。
我要发布答案,因为我想看看它的投票方式...
DMZ中的Web服务器应该能够访问LAN中的MSSQL服务器。如果不能,您如何建议访问局域网中的MSSQL服务器?你不能!