亲爱的,
我们目前在我们的 DMZ 中有一个 Exchange 2016 边缘服务器,它正在处理我们所有的入站和出站电子邮件。我注意到边缘服务器内没有 Activesync 服务/角色。我只能在位于我们私有 LAN 网络中的内部邮箱服务器中看到它。
是否可以在边缘服务器中启用/安装 Activesync 角色?因为我们不想将我们的内部邮箱服务器直接暴露在互联网上。
问候,
我正在引导一家初创公司,并且在概念上很难弄清楚网络 DMZ 中的前端服务器应该如何与处理业务逻辑和数据处理的内部后端服务器进行通信。
我制作了以下图表来尝试解释我的想法:
我读过,DMZ 的重点在于它是公开给公众的,而不是内部设备,因此如果 DMZ 中的设备受到损害,内部区域中的任何内容都不会受到损害。但是如果DMZ中的设备只能通过局域网查询内部设备,那岂不是打破了DMZ的前提,暴露了内部设备,以防DMZ设备被入侵?还是可以接受?如果这不会破坏 DMZ 的概念或安全性,那么我可以这样做,但如果是这样,我的前端服务器应该如何向后端服务器询问数据以响应用户查询?
我正在使用具有 3 个接口的 Pfsense:LAN、DMZ 和 WAN。LAN 包含我的域控制器和我的主要森林(abc.com),DMZ 包含一些 Web 服务器。另一个林位于 Internet 上的其他位置,因此位于 WAN 接口上。按照严格的政策,我完全阻止了从 WAN 到 LAN 的流量,只允许从 WAN 到 DMZ 的 HTTP/HTTPS。我的问题是在两个森林(WAN -> LAN)之间安全地建立信任关系的最佳方法是什么。为所需的特定协议打开端口似乎有风险,其他人不鼓励在 DMZ 中使用只读域控制器,那么最安全的方法是什么?
我首先要说我对 AD 和 DMZ 并不是很熟悉。
在我的公司,我们有一个带有一台服务器的 DMZ,与内部网络隔离(只有几个开放端口)并暴露在网络上。有一些 IIS 应用程序正在运行,它们可以访问 SQL Server。
我想更新connectionstrings,删除userId和password,使用Integrated Security = true并为应用程序池设置一个适当的用户,以便从web.configs 中删除明文/硬编码密码。
问题是服务器无法识别用户,因为服务器不是 AD 域的一部分。
我很确定这种情况有一个干净的解决方案,但没有线索。我应该怎么办?
我目前正在与工头一起建立一个 PoC 来监控一些主机的配置。这很好用。
我想知道,我如何监控 DMZ 中的主机?哪里只允许一种方式的流量(本地到 DMZ)?我希望在同一个工头 Web 界面上查看主机状态。
- 有没有办法进行某种主/从设置?master 会在哪里定期收集 slave 数据并将其显示在 web 界面中?
- 你们有没有尝试过类似的东西?
我在寻求一些建议。我有一个带有 2 个板载 NIC 的物理服务器。目前只有一个用于 LAN。
如果我想设置 Hyper-V 并将第二个 NIC 用于 DMZ 的东西,这可能吗?
我担心服务器会尝试使用 DMZ NIC 而不是 LAN nic 进行网络和外部访问。
谢谢,李。
编辑:完整图片:1 个物理服务器 2 个网卡,一个设置为 LAN,一个设置为 DMZ。我可以很好地通过所需的 NIC 到 VM,但是当尝试在物理服务器上浏览 Internet 时,我会遇到严重超时,因为我认为它正在尝试使用 DMZ NIC,而不是 LAN NIC。
我有 Mikrotik RBcAP2n,一个 lan i 一个 wlan。Wlan WiFi 用于客户端,Lan 用于 ADSL。在 MKRB 和 ADSL 之间,我在与 MKRB 和 ADSL 相同的网络上有一台服务器。服务器有 apache 网站,服务器充当我的 DMZ。
--|互联网|--|ADSL|--172.16.0.0--|MKRB|--192.168.0.0-
|--|SERVER|
ADSL、Server 和 MKRB 之间的网络 IP 为 172.16.0.x
ADSL 的 IP 是 172.16.0.1
MKRB 的 IP 是 172.16.0.2
服务器的 IP 是 172.16.0.254
MKRB 上 wlan 接口上的网络 IP 用于客户端 192.168.0.x
现在,如果我想在 MKRB 的 WiFi 端阻止特定 IP 客户端的互联网,但允许相同客户端的流量到 DMZ,我该如何实现?
例如,如果客户端有 ip 192.168.0.10,MKRB wlan 有 ip 192.168.0.1。
如何阻止客户端 192.168.0.10 的互联网但允许他访问 172.16.0.254?
或者
如何阻止客户端 192.168.0.10 的所有公共 IP,但允许他访问网络 172.16.0.0?
感谢您的建议。
我在防火墙(硬件路由器)上设置 DMZ 端口时遇到问题。我还假设这属于超级用户,因为它看起来像是一个基本的 DMZ 设置。这是设置:
我有一个Fortigate 90D防火墙 ( FortiOS 5.4) 设置,其中 2 个 WAN 端口被不同的 ISP 使用。LAN 端口都用于我们的内部网络,除了 1 用作 DMZ 端口。
我正在尝试将 1 LAN 端口更改为 DMZ 端口,这样我们就可以使用不连接到我们内部网络的 WiFi 路由器。WiFi路由器是一个LinkSys EA2700(http://www.linksys.com/us/p/P-EA2700/),但我最终遇到的问题是LinkSys路由器将连接到防火墙,而不是互联网。
这是我能找到但没有用的:
- 将端口设置为 DMZ(取出内部并放入名为 DMZ 的区域)并且该区域设置为阻止
Intra-Zone Traffic(选中框) - 使用地址 (IE
172.16.0.254/255.255.255.0) 和角色 DMZ 设置端口(在网络 > 接口中)(DHCP 应由 LinkSys 处理) - 使用带有外部 IP 和映射 IP 的 WAN 接口设置虚拟 IP(外部 IP 是公共互联网 IP,映射 IP 是
172.16.0.254在 DMZ 接口上设置的) - 设置防火墙策略以允许流量从 WAN 进来并通过 DMZ 出去,并将目标地址设置为虚拟 IP(NAT 已关闭)
- LinkSys 已插入 DMZ 端口,仅用于带 DHCP 的 WiFi
- Internet 设置设置为:
172.16.0.1/255.255.255.0网关和 DNS:172.16.0.254 - 本地网络设置为:
172.16.1.1/255.255.255.0启用 DHCP 并设置为使用静态 DNS172.16.1.1(也启用了 NAT)
使用此设置,请记住设备的连接方式如下:调制解调器 -> Fortigate FW -> LinkSys Wifi 路由器。
其他端口工作正常,但连接到 Wifi 路由器时,我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip(在虚拟 IP 中设置)正常。我还尝试将虚拟 IP 设置为指向 172.16.0.1 而不是 254,但没有变化。
在 Fortigate 上,我可以跟踪从 DMZ 接口发送的数据包,并在我尝试 ping 8.8.8.8 时显示172.16.0.1 -> 8.8.8.8 icmp: echo request。我从来没有看到从 8.8.8.8 -> 172.16.0.1/254 发生任何事情。
我知道防火墙似乎正在阻止流量,但我不知道这是否是我遗漏或未正确配置的东西。
我不是应用程序开发人员——我将从这个警告开始。
简单来说; 我们的开发团队要求我打开一系列从 WAN 到 LAN 的端口,完全绕过我们的 DMZ。他们说这很好,因为他们的 api 首先从 DMZ 中的两个网络服务器保护连接(使用 diffie helman,但这是另一个故事),但有点不确定从 WAN 到 LAN 的开放端口是否安全 - 任何人都可以启发我从安全的角度来看,这是否可行?
最终用户不应该总是与 DMZ 通信,然后其中的服务器与任何内部服务器进行所有通信吗?
在我们的路由器上,我们最近打开了一个端口。我们想测试我们局域网之外的人是否能够获得访问权限。我们应该怎么做?
不幸的是,除了我们的局域网外,我们没有任何连接。我们认为也许我们的网站就是为此目的而存在的。