这应该是一个非常基本的问题,我试图研究它并找不到可靠的答案。
假设您在 DMZ 中有一个 Web 服务器,在 LAN 中有一个 MSSQL 服务器。IMO,我一直认为是正确的,是 DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器(也许你必须在防火墙中打开一个端口,那就是好的国际海事组织)。
我们的网络人员现在告诉我们,我们无法从 DMZ 访问 LAN 中的 MSSQL 服务器。他们说 DMZ 中的任何东西都应该只能从 LAN(和 Web)访问,并且 DMZ 不应该访问 LAN,就像 Web 不能访问 LAN。
所以我的问题是,谁是对的?DMZ 是否可以访问/从 LAN 访问?或者,应该严格禁止从 DMZ 访问 LAN。所有这些都假设一个典型的 DMZ 配置。
适当的网络安全规定 DMZ 服务器不应访问“受信任”网络。受信任的网络可以到达 DMZ,但反之则不行。对于像您这样由数据库支持的 Web 服务器来说,这可能是一个问题,这就是为什么数据库服务器最终位于 DMZ 中的原因。仅仅因为它在 DMZ 中并不意味着它必须具有公共访问权限,您的外部防火墙仍然可以阻止对它的所有访问。但是,数据库服务器本身无法访问网络内部。
对于 MSSQL 服务器,您可能需要第二个 DMZ,因为需要与 AD DC 对话作为其正常功能的一部分(除非您使用的是 SQL 帐户而不是域集成,此时这是没有实际意义的)。第二个 DMZ 将是需要某种公共访问权限的 Windows 服务器的所在地,即使它首先通过 Web 服务器代理。当网络安全人员考虑到具有公共访问权限的域机器可以访问 DC 时,他们会变得瞠目结舌,这可能很难推销。然而,微软在这件事上并没有留下太多的选择余地。
理论上,我和你的网络人在一起。任何其他安排都意味着当有人破坏 Web 服务器时,他们就有了进入您 LAN 的大门。
当然,现实必须发挥作用——如果您需要从 DMZ 和 LAN 访问实时数据,那么您确实没有多少选择。我可能会建议一个好的折衷方案是像 MSSQL 服务器这样的服务器可以存在的“脏”内部子网。该子网可以从 DMZ 和 LAN 访问,但被防火墙阻止,无法启动与 LAN 和 DMZ 的连接。
如果您允许通过防火墙的只是从 DMZ 服务器到 MS-SQL 服务器的 SQL 连接,那么这应该不是问题。
我发布我的答案是因为我想看看它是如何投票的......
DMZ 中的 Web 服务器应该能够访问 LAN 中的 MSSQL 服务器。如果不能,您打算如何访问局域网中的 MSSQL 服务器?你不能!