pau*_*aul 4 security database dmz lamp
我们正在公司 DMZ 中的独立 LAMP 平台上部署一个简单的时事通讯 web 应用程序。关于MySQL服务器是否应该从DMZ中移除并放入内部网络存在一些讨论。
服务器位于防火墙后面,仅打开端口 80,MySql 将连接到非标准端口。该数据库包含客户电子邮件地址。
这是一个安全的设置(或足够安全)?将数据放在第二个防火墙后面会更安全吗?(我更像是一名开发人员,所以我并不真正了解这里的所有安全方面 - 有人可以启发我吗!)
更新 只是为了澄清和吸引更多评论这里是我们当前的设置:
互联网 - firewall1 - http 服务器 - firewall2 - appserver - firewall3 - 企业资源
这个新应用程序应该完全进入防火墙 1 和 2 之间的 DMZ。我们目前正在讨论将 MySQL 服务器拉入第二个防火墙后面。
Dan*_*ley 11
允许从 DMZ 连接到内部 LAN 打破了 DMZ 的概念。
将 MySQL 绑定到 localhost 与将 MySQL 放在其他地方一样安全。如果您担心数据被盗,您应该假设两台机器分开并且 Apache 部分被破坏,那么存储在被破坏机器上的 MySQL 连接详细信息可以简单地被攻击者重新利用来读取数据。
编辑添加:
即使使用您所描述的双跳 DMZ,您也不会因分离服务而获得任何真正的安全优势,同时使设置变得更加复杂。您甚至可能通过拥有更多机器并通过线路发送数据来增加攻击面,否则这些数据将处于环回状态。