All*_*len 13 networking local-area-network dmz
这应该是一个非常基本的问题,我试图研究它,但找不到可靠的答案。
假设您在 DMZ 中有一个 Web 服务器,在 LAN 中有一个 MSSQL 服务器。IMO,而且我一直认为是正确的,DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器(也许您必须在防火墙中打开一个端口,那就是好的,海事组织)。
我们的网络人员现在告诉我们,我们无法从 DMZ 访问 LAN 中的 MSSQL 服务器。他们说 DMZ 中的任何内容都应该只能从 LAN(和 Web)访问,并且 DMZ 不应访问 LAN,就像 Web 无法访问 LAN。
所以我的问题是,谁是对的?DMZ 是否应该可以访问 LAN?或者,应该严格禁止从 DMZ 访问 LAN。所有这些都假定典型的 DMZ 配置。
sys*_*138 14
适当的网络安全规定 DMZ 服务器不应访问“受信任”网络。Trusted 网络可以到达 DMZ,但不能反过来。对于像您这样的 DB 支持的 Web 服务器,这可能是一个问题,这就是数据库服务器最终位于 DMZ 中的原因。仅仅因为它位于 DMZ 中并不意味着它必须具有公共访问权限,您的外部防火墙仍然可以阻止对其进行所有访问。但是,数据库服务器本身无法访问网络内部。
对于 MSSQL 服务器,您可能需要第二个 DMZ,因为需要与 AD DC 通信作为其正常功能的一部分(除非您使用 SQL 帐户而不是域集成,此时这是没有实际意义的)。第二个 DMZ 将是需要某种公共访问的 Windows 服务器的所在地,即使它首先通过网络服务器进行代理。网络安全人员在考虑具有公共访问权限的域计算机访问 DC 时会变得眯眯眼,这可能很难卖。然而,微软在这件事上并没有留下太多的选择。