DMZ में एक वेबसर्वर को MSSQL को LAN में एक्सेस करने की अनुमति दी जानी चाहिए?


12

यह एक बहुत ही बुनियादी सवाल होना चाहिए और मैंने इस पर शोध करने की कोशिश की और इसका ठोस जवाब नहीं मिला।

मान लें कि आपके पास DMZ में एक वेब सर्वर और LAN में एक MSSQL सर्वर है। IMO, और जो मैंने हमेशा सही माना है, वह यह है कि DMZ में वेब सर्वर LAN में MSSQL सर्वर तक पहुंचने में सक्षम होना चाहिए (हो सकता है कि आपको फ़ायरवॉल में पोर्ट खोलना पड़े, यही होगा ठीक है IMO)।

हमारे नेटवर्किंग लोग अब हमें बता रहे हैं कि DMZ से LAN में MSSQL सर्वर तक हमारी कोई पहुँच नहीं हो सकती है। वे कहते हैं कि डीएमजेड में कुछ भी केवल लैन (और वेब) से एक्सेस किया जाना चाहिए, और यह कि डीएमजेड के पास TO LAN तक पहुंच नहीं होनी चाहिए, जैसे कि वेब की LAN तक पहुंच नहीं है।

तो मेरा सवाल यह है कि कौन सही है? DMZ को LAN से / तक पहुंच होनी चाहिए? या, डीएमजेड से लैन तक पहुंच सख्त वर्जित हो। यह सब एक विशिष्ट DMZ कॉन्फ़िगरेशन मानता है।

जवाबों:


14

उचित नेटवर्क सुरक्षा बताती है कि DMZ सर्वरों को 'विश्वसनीय' नेटवर्क में कोई पहुंच नहीं होनी चाहिए। ट्रस्टेड नेटवर्क DMZ को प्राप्त कर सकता है, लेकिन अन्य तरीके से नहीं। आपके जैसे DB समर्थित वेब-सर्वरों के लिए यह एक समस्या हो सकती है, यही वजह है कि डेटाबेस सर्वर DMZ में समाप्त हो जाते हैं। सिर्फ इसलिए कि यह एक DMZ में है इसका मतलब यह नहीं है कि यह सार्वजनिक पहुंच है, आपका बाहरी फ़ायरवॉल अभी भी सभी तक पहुँच को रोक सकता है। हालाँकि, DB सर्वर स्वयं नेटवर्क के अंदर तक पहुँच नहीं है।

MSSQL सर्वरों के लिए, आपको संभवतः AD DC के अपने सामान्य कामकाज के हिस्से के रूप में बात करने की आवश्यकता के कारण एक 2 डीएमजेड की आवश्यकता है (जब तक कि आप डोमेन-एकीकृत के बजाय SQL खातों का उपयोग नहीं कर रहे हैं, जिस समय यह moot है)। यह दूसरा डीएमजेड विंडोज सर्वर का घर होगा, जिसे किसी तरह के सार्वजनिक उपयोग की आवश्यकता होती है, भले ही यह पहले वेब सर्वर के माध्यम से अनुमानित हो। नेटवर्क सिक्योरिटी वालों को तब मुश्किल होती है जब वे उन डोमेन मशीनों पर विचार करते हैं जो डीसी तक पहुंच प्राप्त करने के लिए सार्वजनिक उपयोग का अनुभव करते हैं, जो एक कठिन बिक्री हो सकती है। हालाँकि, Microsoft इस मामले में ज्यादा विकल्प नहीं छोड़ता है।


@ सभी - हम नहीं जानते कि आपके नेटवर्किंग के लोग क्या कह रहे हैं। @ Sysadmin1138 आपको एक अच्छा डिज़ाइन बता रहा है।
mfinni

याह मैं समझता हूँ कि वह क्या कह रहा है। मुझे लगता है कि मुझे अतीत में बताया गया है कि हमारा mssql लैन पर था जब वह वास्तव में एक अन्य DMZ में था जैसा कि वह बताता है
एलन

यह PCI अनुपालन के साथ कैसे फिट बैठता है, जो यह बताता है कि डेटाबेस सर्वर DMZ में नहीं रहता है? यही वह समस्या है जिसके साथ मैं निपटने के लिए, DMZ पर SQL सर्वर तक वेब्जर्वर की अनुमति देता हूं, जो LAN या किसी अन्य DMZ पर होना चाहिए ...
आईटी सपोर्ट

@IT समर्थन जो कभी-कभी किसी अन्य DMZ परत को जोड़कर हल किया जाता है। लेयर 1 आपका वेबफार्म है, लेयर 2 आपका डीबी फार्म है। दोनों परतों को किसी अन्य परत से फायरवॉल किया जाता है।
sysadmin1138

4

मैं सिद्धांत रूप में आपके नेटवर्किंग दोस्तों के साथ हूं। किसी भी अन्य व्यवस्था का मतलब है कि जब कोई वेब सर्वर से समझौता करता है, तो आपके द्वार में उसका LAN होता है।

बेशक, वास्तविकता को एक भूमिका निभानी होगी - यदि आपको DMZ और LAN दोनों से सुलभ लाइव डेटा की आवश्यकता है तो आपके पास वास्तव में कुछ विकल्प हैं। मैं शायद सुझाव दूंगा कि एक अच्छा समझौता एक "गंदे" आंतरिक सबनेट होगा जो MSSQL सर्वर जैसे सर्वरों को जी सकता है। वह सबनेट DMZ और LAN दोनों से सुलभ होगा, लेकिन LAN और DMZ दोनों में कनेक्शन शुरू करने में सक्षम होने से फ़ायरवॉल बंद कर दिया गया।


2
हम यह करते हैं। सार्वजनिक webservers एक DMZ में हैं। DB सर्वर जो वे प्रश्न बनाते हैं, वे दूसरे DMZ में हैं। उनमें से कोई भी कॉर्पोरेट नेटवर्क से कनेक्शन नहीं बना सकता है, हालांकि कॉर्पोरेट नेटवर्क उनसे कनेक्शन बना सकता है।
एमफिनी

वास्तव में? (पूछ रहे हैं, व्यंग्यात्मक नहीं) क्या इसका मतलब यह नहीं है कि उनके पास आपके SQL सर्वर (या उदाहरणों) में से एक तक पहुंचने का एक तरीका है? जो लैन में एक दरवाजा है, लेकिन एक बहुत ही संकीर्ण है। फिर आपको उस सर्वर पर उस सटीक सेवा से समझौता करने की आवश्यकता होगी जो दरवाजा खुला दरार करने के लिए है। मुझे लगता है कि एक बहुत ही संकीर्ण दरवाजा। 2 डीएमजेड में सर्वरों को रखना अभी भी किसी को उस SQL ​​में डेटा तक IIS पहुंच से समझौता करने की अनुमति देता है।
गोमुशी

1

यदि आप फ़ायरवॉल के माध्यम से सभी दे रहे हैं तो DMZ सर्वर से MS-SQL सर्वर तक SQL कनेक्शन हैं, तो यह एक मुद्दा नहीं होना चाहिए।


-1

मैं अपना उत्तर पोस्ट कर रहा हूं क्योंकि मैं देखना चाहता हूं कि इसका मतदान कैसे हुआ ...

DMZ में वेब सर्वर LAN में MSSQL सर्वर तक पहुंचने में सक्षम होना चाहिए। यदि यह नहीं हो सकता है, तो आप लैन में एक MSSQL सर्वर तक कैसे पहुँच सकते हैं? आप नहीं कर सकते!


कैन ’और Could चाहिए’ दो बहुत अलग चीजें हैं।
ITGuy24

ठीक है, तो आप www tier पर चलने वाली डेटाबेस संचालित वेबसाइट का प्रस्ताव कैसे देते हैं?
एलन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.