DMZ में एक वेबसर्वर को MSSQL को LAN में एक्सेस करने की अनुमति दी जानी चाहिए?

यह एक बहुत ही बुनियादी सवाल होना चाहिए और मैंने इस पर शोध करने की कोशिश की और इसका ठोस जवाब नहीं मिला।

मान लें कि आपके पास DMZ में एक वेब सर्वर और LAN में एक MSSQL सर्वर है। IMO, और जो मैंने हमेशा सही माना है, वह यह है कि DMZ में वेब सर्वर LAN में MSSQL सर्वर तक पहुंचने में सक्षम होना चाहिए (हो सकता है कि आपको फ़ायरवॉल में पोर्ट खोलना पड़े, यही होगा ठीक है IMO)।

हमारे नेटवर्किंग लोग अब हमें बता रहे हैं कि DMZ से LAN में MSSQL सर्वर तक हमारी कोई पहुँच नहीं हो सकती है। वे कहते हैं कि डीएमजेड में कुछ भी केवल लैन (और वेब) से एक्सेस किया जाना चाहिए, और यह कि डीएमजेड के पास TO LAN तक पहुंच नहीं होनी चाहिए, जैसे कि वेब की LAN तक पहुंच नहीं है।

तो मेरा सवाल यह है कि कौन सही है? DMZ को LAN से / तक पहुंच होनी चाहिए? या, डीएमजेड से लैन तक पहुंच सख्त वर्जित हो। यह सब एक विशिष्ट DMZ कॉन्फ़िगरेशन मानता है।

उचित नेटवर्क सुरक्षा बताती है कि DMZ सर्वरों को 'विश्वसनीय' नेटवर्क में कोई पहुंच नहीं होनी चाहिए। ट्रस्टेड नेटवर्क DMZ को प्राप्त कर सकता है, लेकिन अन्य तरीके से नहीं। आपके जैसे DB समर्थित वेब-सर्वरों के लिए यह एक समस्या हो सकती है, यही वजह है कि डेटाबेस सर्वर DMZ में समाप्त हो जाते हैं। सिर्फ इसलिए कि यह एक DMZ में है इसका मतलब यह नहीं है कि यह सार्वजनिक पहुंच है, आपका बाहरी फ़ायरवॉल अभी भी सभी तक पहुँच को रोक सकता है। हालाँकि, DB सर्वर स्वयं नेटवर्क के अंदर तक पहुँच नहीं है।

MSSQL सर्वरों के लिए, आपको संभवतः AD DC के अपने सामान्य कामकाज के हिस्से के रूप में बात करने की आवश्यकता के कारण एक 2 डीएमजेड की आवश्यकता है (जब तक कि आप डोमेन-एकीकृत के बजाय SQL खातों का उपयोग नहीं कर रहे हैं, जिस समय यह moot है)। यह दूसरा डीएमजेड विंडोज सर्वर का घर होगा, जिसे किसी तरह के सार्वजनिक उपयोग की आवश्यकता होती है, भले ही यह पहले वेब सर्वर के माध्यम से अनुमानित हो। नेटवर्क सिक्योरिटी वालों को तब मुश्किल होती है जब वे उन डोमेन मशीनों पर विचार करते हैं जो डीसी तक पहुंच प्राप्त करने के लिए सार्वजनिक उपयोग का अनुभव करते हैं, जो एक कठिन बिक्री हो सकती है। हालाँकि, Microsoft इस मामले में ज्यादा विकल्प नहीं छोड़ता है।

मैं सिद्धांत रूप में आपके नेटवर्किंग दोस्तों के साथ हूं। किसी भी अन्य व्यवस्था का मतलब है कि जब कोई वेब सर्वर से समझौता करता है, तो आपके द्वार में उसका LAN होता है।

बेशक, वास्तविकता को एक भूमिका निभानी होगी - यदि आपको DMZ और LAN दोनों से सुलभ लाइव डेटा की आवश्यकता है तो आपके पास वास्तव में कुछ विकल्प हैं। मैं शायद सुझाव दूंगा कि एक अच्छा समझौता एक "गंदे" आंतरिक सबनेट होगा जो MSSQL सर्वर जैसे सर्वरों को जी सकता है। वह सबनेट DMZ और LAN दोनों से सुलभ होगा, लेकिन LAN और DMZ दोनों में कनेक्शन शुरू करने में सक्षम होने से फ़ायरवॉल बंद कर दिया गया।

यदि आप फ़ायरवॉल के माध्यम से सभी दे रहे हैं तो DMZ सर्वर से MS-SQL सर्वर तक SQL कनेक्शन हैं, तो यह एक मुद्दा नहीं होना चाहिए।

मैं अपना उत्तर पोस्ट कर रहा हूं क्योंकि मैं देखना चाहता हूं कि इसका मतदान कैसे हुआ ...

DMZ में वेब सर्वर LAN में MSSQL सर्वर तक पहुंचने में सक्षम होना चाहिए। यदि यह नहीं हो सकता है, तो आप लैन में एक MSSQL सर्वर तक कैसे पहुँच सकते हैं? आप नहीं कर सकते!