Это должен быть очень простой вопрос, и я попытался изучить его, но не смог найти твердого ответа.
Допустим, у вас есть веб-сервер в DMZ и сервер MSSQL в локальной сети. ИМО, и то, что я всегда считал правильным, это то, что веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети (возможно, вам придется открыть порт в брандмауэре, это будет ок ИМО).
Наши сетевые специалисты теперь говорят нам, что у нас нет доступа к серверу MSSQL в локальной сети из DMZ. Они говорят, что все, что находится в DMZ, должно быть доступно только из LAN (и Интернета), и что DMZ не должна иметь доступа к LAN, так же как Интернет не имеет доступа к LAN.
Итак, мой вопрос, кто прав? Должна ли DMZ иметь доступ к / из LAN? Или, если доступ к LAN из DMZ будет строго запрещен. Все это предполагает типичную конфигурацию DMZ.
Надлежащая сетевая безопасность гласит, что серверы DMZ не должны иметь доступа к «надежной» сети. Сеть Trusted может попасть в DMZ, но не наоборот. Для веб-серверов, поддерживаемых БД, таких как ваш, это может быть проблемой, поэтому серверы баз данных попадают в DMZ. Тот факт, что он находится в DMZ, не означает, что он ДОЛЖЕН иметь общий доступ, ваш внешний брандмауэр может предотвратить любой доступ к нему. Однако сам сервер БД не имеет доступа внутрь сети.
Для серверов MSSQL, вы, вероятно, нужен 2-й ДЗ в связи с необходимостью поговорить с AD DC как часть его нормального функционирования (если вы не используете SQL счетов, а не домен-интегрированный, в какой момент это спорный вопрос). Эта вторая DMZ будет домом для серверов Windows, которым нужен какой-то публичный доступ, даже если он сначала будет проксирован через веб-сервер. Люди, занимающиеся сетевой безопасностью, прищуриваются, когда считают, что доменные машины, имеющие общий доступ, получают доступ к контроллерам домена, что может быть трудно продать. Однако особого выбора в этом вопросе Microsoft не оставляет.
Теоретически я с вашими сетевыми парнями. Любая другая договоренность означает, что когда кто-то взламывает веб-сервер, у него появляется дверь в вашу локальную сеть.
Конечно, реальность должна сыграть свою роль - если вам нужны данные в реальном времени, доступные как из DMZ, так и из LAN, у вас действительно есть несколько вариантов. Я бы, наверное, предположил, что хорошим компромиссом была бы «грязная» внутренняя подсеть, в которой могли бы жить такие серверы, как сервер MSSQL. Эта подсеть будет доступна как из DMZ, так и из LAN, но будет отключена от брандмауэра, чтобы не было возможности инициировать подключения к LAN и DMZ.
Если все, что вы пропускаете через брандмауэр, - это подключения SQL от сервера DMZ к серверу MS-SQL, то это не должно быть проблемой.
Я отправляю свой ответ, потому что хочу увидеть, как он проголосовал ...
Веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети. Если нет, как вы предлагаете получить доступ к серверу MSSQL в локальной сети? Вы не могли!