Máy chủ web trong DMZ có nên được phép truy cập MSSQL trong mạng LAN không?


12

Đây phải là một câu hỏi rất cơ bản và tôi đã cố gắng nghiên cứu nó và không thể tìm thấy câu trả lời chắc chắn.

Giả sử bạn có máy chủ web trong DMZ và máy chủ MSSQL trong mạng LAN. IMO và điều mà tôi luôn cho là đúng, đó là máy chủ web trong DMZ sẽ có thể truy cập máy chủ MSSQL trong mạng LAN (có thể bạn phải mở một cổng trong tường lửa, đó là ok IMO).

Các nhân viên mạng của chúng tôi hiện đang nói với chúng tôi rằng chúng tôi không thể có quyền truy cập vào máy chủ MSSQL trong mạng LAN từ DMZ. Họ nói rằng mọi thứ trong DMZ chỉ nên có thể truy cập TỪ mạng LAN (và web) và DMZ không nên có quyền truy cập vào mạng LAN, giống như web không có quyền truy cập vào mạng LAN.

Vì vậy, câu hỏi của tôi là, ai đúng? DMZ có nên truy cập vào / từ mạng LAN không? Hoặc, nên truy cập vào mạng LAN từ DMZ. Tất cả điều này giả định một cấu hình DMZ điển hình.

Câu trả lời:


14

Bảo mật mạng đúng quy định rằng các máy chủ DMZ không nên có quyền truy cập vào mạng 'Đáng tin cậy'. Mạng đáng tin cậy có thể đến DMZ, nhưng không phải là cách khác. Đối với các máy chủ web được hỗ trợ DB như của bạn, đây có thể là một vấn đề, đó là lý do tại sao các máy chủ cơ sở dữ liệu kết thúc trong DMZ. Chỉ vì nó ở trong DMZ không có nghĩa là nó có quyền truy cập công khai, tường lửa bên ngoài của bạn vẫn có thể ngăn chặn tất cả quyền truy cập vào nó. Tuy nhiên, bản thân máy chủ DB không có quyền truy cập vào bên trong mạng.

Đối với các máy chủ MSSQL, có lẽ bạn cần DMZ thứ 2 do cần phải nói chuyện với AD DC như một phần hoạt động bình thường của nó (trừ khi bạn đang sử dụng tài khoản SQL thay vì tích hợp tên miền, tại thời điểm này là moot). DMZ thứ hai đó sẽ là nhà của các máy chủ Windows cần một số loại truy cập công khai, ngay cả khi nó được ủy quyền thông qua máy chủ web trước. Những người bảo mật mạng trở nên lúng túng khi họ xem xét các máy có tên miền trải qua truy cập công cộng có quyền truy cập vào các DC, đây có thể là một việc khó bán. Tuy nhiên, Microsoft không để lại nhiều sự lựa chọn trong vấn đề này.


@ ALLen - chúng tôi không biết những người trong mạng của bạn đang nói gì. @ Sysadmin1138 đang nói với bạn một thiết kế tốt.
mfinni

Yah tôi hiểu những gì anh ấy nói. Tôi nghĩ rằng tôi đã được thông báo trước đây rằng mssql của chúng tôi đã ở trên mạng LAN khi nó thực sự ở một DMZ khác như anh mô tả
Allen

Làm thế nào điều này phù hợp với tuân thủ PCI, điều này bắt buộc Máy chủ cơ sở dữ liệu KHÔNG cư trú trong DMZ? Đó là vấn đề tôi đang giải quyết, cho phép máy chủ web trên DMZ truy cập vào máy chủ SQL cần có trên mạng LAN hoặc DMZ khác ...
Hỗ trợ CNTT

@IT Hỗ trợ đôi khi được giải quyết bằng cách thêm một lớp DMZ khác. Layer1 là webfarm của bạn, layer2 là trang trại DB của bạn. Cả hai lớp được tường lửa từ bất kỳ lớp nào khác.
sysadmin1138

4

Về lý thuyết, tôi đang kết nối với các bạn. Bất kỳ sự sắp xếp nào khác có nghĩa là khi ai đó xâm phạm máy chủ web, họ có một cửa vào mạng LAN của bạn.

Tất nhiên, thực tế phải đóng một phần - nếu bạn cần dữ liệu trực tiếp có thể truy cập từ cả DMZ và LAN thì bạn thực sự có vài lựa chọn. Có lẽ tôi muốn đề xuất rằng một sự thỏa hiệp tốt sẽ là một mạng con nội bộ "bẩn" mà các máy chủ như máy chủ MSSQL có thể sống. Mạng con đó có thể truy cập được từ cả DMZ và LAN nhưng bị chặn không cho phép bắt đầu kết nối với LAN và DMZ.


2
Đây là những gì chúng ta làm. Các máy chủ web công cộng nằm trong DMZ. Các máy chủ DB mà họ thực hiện truy vấn nằm trong DMZ khác . Không ai trong số họ có thể tạo kết nối với mạng công ty, mặc dù mạng công ty có thể tạo kết nối với họ.
mfinni

Có thật không? (hỏi, không mỉa mai) Không phải chỉ có nghĩa là họ có cách để tiếp cận MỘT trong các máy chủ SQL (hoặc phiên bản) của bạn sao? Đó là một cánh cửa vào mạng LAN, nhưng một cánh cửa khá hẹp. Sau đó, bạn cần phải thỏa hiệp dịch vụ chính xác đó trên máy chủ đó để mở cửa. Một cánh cửa rất hẹp tôi nghĩ. Đặt các máy chủ trong DMZ thứ 2 vẫn cho phép bất kỳ ai xâm phạm quyền truy cập IIS vào dữ liệu trong SQL đó.
Gomibushi

1

Nếu tất cả những gì bạn cho phép thông qua tường lửa là các kết nối SQL từ máy chủ DMZ đến máy chủ MS-SQL, thì đó không phải là vấn đề.


-1

Tôi đang đăng câu trả lời của mình vì tôi muốn xem nó được bình chọn như thế nào ...

Máy chủ web trong DMZ sẽ có thể truy cập máy chủ MSSQL trong mạng LAN. Nếu không thể, làm thế nào để bạn đề xuất truy cập vào máy chủ MSSQL trong mạng LAN? Bạn không thể!


'Có thể' và 'Nên' là hai điều rất khác nhau.
ITGuy24

Đúng vậy, làm thế nào để bạn đề xuất một trang web điều khiển cơ sở dữ liệu chạy trên tầng www?
Allen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.