DMZ의 웹 서버가 LAN의 MSSQL에 액세스 할 수 있어야합니까?


12

이것은 매우 기본적인 질문이어야하며 조사하려고했지만 확실한 대답을 찾지 못했습니다.

DMZ에 웹 서버가 있고 LAN에 MSSQL 서버가 있다고 가정하십시오. IMO와 내가 항상 옳다고 생각한 것은 DMZ의 웹 서버가 LAN의 MSSQL 서버에 액세스 할 수 있어야한다는 것입니다 (방화벽의 포트를 열어야 할 수도 있습니다. 좋아요 IMO).

우리 네트워킹 담당자는 이제 DMZ에서 LAN의 MSSQL 서버에 액세스 할 수 없다고 말합니다. 그들은 DMZ의 모든 것은 LAN (및 웹)을 통해서만 액세스 할 수 있어야하며 웹이 LAN에 액세스 할 수없는 것처럼 DMZ가 LAN에 액세스 할 수 없어야한다고 말합니다.

제 질문은 누가 옳습니까? DMZ가 LAN에 액세스 할 수 있어야합니까? 또는 DMZ에서 LAN에 액세스하는 것을 엄격히 금지해야합니다. 이 모든 것은 일반적인 DMZ 구성을 가정합니다.

답변:


14

적절한 네트워크 보안 상태는 DMZ 서버가 '신뢰할 수있는'네트워크에 액세스 할 수 없음을 나타냅니다. 신뢰할 수있는 네트워크는 DMZ에 도달 할 수 있지만 다른 방법으로는 불가능합니다. 귀하와 같은 DB 지원 웹 서버의 경우 이것이 문제가 될 수 있으므로 데이터베이스 서버가 DMZ로 종료됩니다. DMZ에 있다고해서 공개 액세스 권한이 있다는 의미는 아니지만 외부 방화벽이 여전히 모든 액세스를 막을 수 있습니다. 그러나 DB 서버 자체는 네트워크 내부에 액세스 할 수 없습니다.

MSSQL 서버의 경우 정상적인 기능의 일부로 AD DC와 통신해야하기 때문에 2 차 DMZ가 필요할 수 있습니다 (도메인 통합이 아닌 SQL 계정을 사용하지 않는 한이 시점에서는 무의미합니다). 두 번째 DMZ는 먼저 웹 서버를 통해 프록시 처리 되더라도 일종의 공개 액세스가 필요한 Windows 서버의 홈입니다. 네트워크 보안 사람들은 공개 액세스를 경험하는 도메인 머신이 DC에 액세스하는 것을 고려할 때 흠집을냅니다. 그러나 Microsoft는이 문제에 대해 많은 선택을하지 않습니다.


@Allen-우리는 당신의 네트워킹 사람들이 무슨 말을하는지 모른다. @ Sysadmin1138은 당신에게 좋은 디자인을 말하고 있습니다.
mfinni

그가 말하는 것을 이해합니다. 나는 과거에 우리의 mssql이 LAN이 켜져 있고 다른 DMZ에있을 때 LAN에 있다고 들었습니다.
Allen

이는 데이터베이스 규정 서버가 DMZ에 상주하지 않는 PCI 규정 준수와 어떻게 맞습니까? 내가 다루고있는 문제는 DMZ의 웹 서버가 LAN 또는 다른 DMZ에 있어야하는 SQL 서버에 액세스 할 수 있도록하는 것입니다.
IT 지원

@IT 지원 다른 DMZ 레이어를 추가하여 해결되는 경우가 있습니다. Layer1은 웹팜이고 layer2는 DB 팜입니다. 두 계층 모두 다른 계층에서 방화벽 처리됩니다.
sysadmin1138

4

나는 이론적으로 당신의 네트워킹 사람들과 함께 있습니다. 다른 배열은 누군가가 웹 서버를 손상시킬 때 LAN에 문의하는 것을 의미합니다.

물론 현실은 중요한 역할을합니다. DMZ와 LAN 모두에서 액세스 할 수있는 라이브 데이터가 필요한 경우 옵션이 거의 없습니다. 아마 MSSQL 서버와 같은 서버가 살 수있는 "더러운"내부 서브넷이 좋은 타협점이라고 제안 할 것입니다. 해당 서브넷은 DMZ와 LAN 모두에서 액세스 할 수 있지만 LAN과 DMZ에 대한 연결을 시작할 수 없도록 방화벽에서 분리되었습니다.


2
이것이 우리가하는 일입니다. 공개 웹 서버는 DMZ에 있습니다. 이들이 쿼리하는 DB 서버는 다른 DMZ에 있습니다. 회사 네트워크는 연결될 수 있지만 이들 중 어느 것도 회사 네트워크에 연결할 수 없습니다.
mfinni

정말? (비꼬 지 말고 물어보십시오) 단지 하나의 SQL 서버 (또는 인스턴스)에 도달 할 수있는 방법이 아닙니까? LAN에 대한 문이지만 꽤 좁은 것입니다. 그런 다음 해당 서버의 정확한 서비스를 손상시켜 문을 열어야합니다. 매우 좁은 문이라고 생각합니다. 서버를 2 차 DMZ에 배치하면 IIS를 손상시키는 사람은 누구나 해당 SQL의 데이터에 액세스 할 수 있습니다.
Gomibushi


-1

투표 방법을 확인하고 싶기 때문에 답변을 게시하고 있습니다 ...

DMZ의 웹 서버는 LAN의 MSSQL 서버에 액세스 할 수 있어야합니다. 그렇지 않은 경우 LAN에서 MSSQL 서버에 대한 액세스를 어떻게 제안합니까? 당신은 할 수 없었습니다!


'Could'와 'Should'는 매우 다른 두 가지입니다.
ITGuy24

그렇다면 www 티어에서 실행되는 데이터베이스 기반 웹 사이트를 어떻게 제안합니까?
Allen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.