标签: dmz

我们目前在 DMZ 中有我们的 Web 服务器。Web 服务器看不到内部网络中的任何内容，但内部网络可以看到 Web 服务器。在 DMZ 和内部网络之间的防火墙上打一个洞到 Intranet 中只有一个 Web 服务器有多安全？我们正在研究一些将与我们的几个后台应用程序（它们都在一台服务器上）交互的东西，如果我们可以直接与保存这些数据的 IBM i 服务器进行通信，那么执行这个项目会容易得多（通过网络服务）。

根据我的理解（而且我不知道品牌），我们为 DMZ 设置了一个防火墙，其外部 IP 与我们使用另一个防火墙的主 IP 不同。另一个防火墙位于 Web 服务器和 Intranet 之间。

所以像：

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2

这应该是一个非常基本的问题，我试图研究它，但找不到可靠的答案。

假设您在 DMZ 中有一个 Web 服务器，在 LAN 中有一个 MSSQL 服务器。IMO，而且我一直认为是正确的，DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器（也许您必须在防火墙中打开一个端口，那就是好的，海事组织）。

我们的网络人员现在告诉我们，我们无法从 DMZ 访问 LAN 中的 MSSQL 服务器。他们说 DMZ 中的任何内容都应该只能从 LAN（和 Web）访问，并且 DMZ 不应访问 LAN，就像 Web 无法访问 LAN。

所以我的问题是，谁是对的？DMZ 是否应该可以访问 LAN？或者，应该严格禁止从 DMZ 访问 LAN。所有这些都假定典型的 DMZ 配置。

我们的网络管理员坚持认为，托管在 DMZ 中的 Web 服务器访问防火墙后面的数据库服务器是不安全的。为了解决这个问题，我们通过 Web 服务或 WCF 访问数据。我觉得这是一个不必要的性能负担，如果 Web 服务器可以直接访问数据库，则可以消除它。

我得到的原因是黑客能够登录到 Web 服务器，然后他们可以访问数据库。是否可以只为 IIS 打开端口，或者不可能那么具体？如果我们可以将其锁定在 IIS 上，这是否容易被黑客入侵？

我在互联网上阅读了各种帖子，但似乎找不到明确的答案。

铝

我想在相同标准端口上的 af/w 后面托管冗余的 Internet 可访问（NATed）Web 服务器。如果我只有 1 个公开可用的地址，我是否必须使用反向代理或负载平衡器？如果我可以获得更多公共地址空间（而不是 NAT），我是否必须对该空间进行子网划分以使其可路由？

我正在考虑在 Cisco ASA 后面设置一个 DMZ，该 DMZ 将包含大量 HTTP 前端负载平衡器和 SSL 卸载服务 - 超过 100 个 IP，集中在少数主机上。

过去，我将所有主机都保留在 RFC1918 私有 IP 上，并为我通常在 DMZ 中公开的每个服务添加了静态映射（IP-by-IP）。这变得很烦人，因为我们已经开始以足够快的速度添加额外的 DMZ IP，以至于单独设置每个 IP 变得很烦人。我想对其进行更改，以便将整个 DMZ 子网设置为允许来自外部的 HTTP 和 HTTPS --> dmz，以便负载均衡器可以根据需要获取新 IP，而无需每次都更新 ASA 配置。

我现在想知道的是，将 DMZ 放在 RFC1918 子网上并在整个子网中使用静态 NAT 是否有意义，或者我是否应该让 DMZ 直接分配外部 IP，并仅依赖于访问列表和身份 NAT/NAT 豁免。

一些粗略的 ASCII 艺术作品：

使用直接外部 IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
                  +-----> DMZ (1.2.3.0/24)

使用 NATed IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
     (1.2.3.0/24) +-----> DMZ (10.99.0.0/24) …

我现在一直在阅读有关 Intranet、Extranet、DMZ 和 VPN 的文章，我需要一些有关 Extranet 和 DMZ 的说明。我知道它们是不同类型的概念 - 外联网允许对某些内联网资源进行有限访问，而 DMZ 是位于互联网和内联网之间的子网，并托管面向外部的服务。但是，我想知道在通常的设置中它们在实践中的区别是什么？在上外网维基百科的文章说，由于它们用于相同目的外联网类似的DMZ（提供访问某些服务/资源不暴露整个内部网络）。文章还指出外联网是 VPN 的一部分，这篇 TechNet 文章还指出，外联网访问通常与远程内联网访问类似，例如使用 VPN。TechNet 文章还说，外联网通常托管在 DMZ 内。Pearson 的这篇文章说“虽然 [DMZ] 在技术上位于 Intranet 内，但 [it] 也可以作为 Extranet”。这有点令人困惑。

考虑这种情况：一家公司在 DMZ 中托管了一个 B2C 网站。该网站可以从任何地方访问，但需要用户身份验证。底层 Web 应用程序的数据库位于 Intranet 内，并且还与 Intranet 内托管的一些 Web 服务交互（即访问 Intranet 资源）。在我看来，该网站确实有效地提供了对 Intranet 的受限访问。但它可以被认为是一个外联网吗？如果我们从字面上理解维基百科对外联网的定义——“外联网是一种允许从组织内联网外部进行受控访问的计算机网络”——我认为它可以。

假设以上不能被视为外联网。如果我们稍微改变一下场景，假设它是一个 B2B 网站，其中访问仅限于来自特定业务合作伙伴的连接（例如，通过使用站点到站点 VPN）会怎样？在这种情况下，它肯定是一个外联网，对吗？如果是这种情况，那么 Extranet 服务与托管在 DMZ 中的任何其他服务之间的区别仅仅是访问限制吗？

如果您在位于 DMZ 中的 Web 服务器上安装了 wireshark，即使 RDP 被禁用，是否有可以用来获得该服务器的后门入口的黑客？我正在尝试监控 DMZ 网络服务器上的线路，但从 DMZ 团队那里得到了反驳，说它打开了一个没有很多细节的后门黑客

我在 pfsense 上有一个一对一的 NAT，它将公共 IP 分配给内部 IP（运行 Web 服务器）。

当我从内部机器打开公共 IP 时，它不会解析为内部 IP，而是打开路由器网页。

当我从 LAN 外部打开公共 IP 时，它将通过运行 Web 服务器的内部 IP。

为什么我内部打不开公网IP？

在大学计算机科学系负责安全一点也不有趣。我解释说：我经常收到要求安装新硬件系统或软件系统的请求，这些系统或软件系统非常具有实验性，以至于我什至不敢将它们放在 DMZ 中。如果我可以避免它并强制安装在受限制的内部 VLAN 中，那很好，但偶尔我会收到需要访问外部世界的请求。实际上，让此类系统访问世界以进行测试是有意义的。

这是最新的请求：新开发的使用 SIP 的系统正处于开发的最后阶段。该系统将能够与外部用户（即其目的和研究计划）进行交流，实际上医院患者对技术不太了解。因此，向世界其他地方开放它是有意义的。我正在寻找的是任何有处理需要广泛外部网络访问的高度实验性系统的经验的人。您如何在不妨碍研究的情况下保护网络和系统的其余部分免受这个安全噩梦的影响？放置在 DMZ 中是否足够？有什么额外的预防措施吗？还有其他选择、方法吗？

什么时候应该将服务器放置在 DMZ 中，而不是在防火墙上打开端口并将其保留在网络中？我指的是活动目录服务器、IIS 服务器，以及大多数基于 Windows 的设置。

我注意到放置在 DMZ 中的一些问题是它不再位于域中，它没有名称服务器访问我们的内部服务器，以及其他一些使工作变得奇怪的事情。