이것은 매우 기본적인 질문이어야하며 조사하려고했지만 확실한 대답을 찾지 못했습니다.
DMZ에 웹 서버가 있고 LAN에 MSSQL 서버가 있다고 가정하십시오. IMO와 내가 항상 옳다고 생각한 것은 DMZ의 웹 서버가 LAN의 MSSQL 서버에 액세스 할 수 있어야한다는 것입니다 (방화벽의 포트를 열어야 할 수도 있습니다. 좋아요 IMO).
우리 네트워킹 담당자는 이제 DMZ에서 LAN의 MSSQL 서버에 액세스 할 수 없다고 말합니다. 그들은 DMZ의 모든 것은 LAN (및 웹)을 통해서만 액세스 할 수 있어야하며 웹이 LAN에 액세스 할 수없는 것처럼 DMZ가 LAN에 액세스 할 수 없어야한다고 말합니다.
제 질문은 누가 옳습니까? DMZ가 LAN에 액세스 할 수 있어야합니까? 또는 DMZ에서 LAN에 액세스하는 것을 엄격히 금지해야합니다. 이 모든 것은 일반적인 DMZ 구성을 가정합니다.
답변:
적절한 네트워크 보안 상태는 DMZ 서버가 '신뢰할 수있는'네트워크에 액세스 할 수 없음을 나타냅니다. 신뢰할 수있는 네트워크는 DMZ에 도달 할 수 있지만 다른 방법으로는 불가능합니다. 귀하와 같은 DB 지원 웹 서버의 경우 이것이 문제가 될 수 있으므로 데이터베이스 서버가 DMZ로 종료됩니다. DMZ에 있다고해서 공개 액세스 권한이 있다는 의미는 아니지만 외부 방화벽이 여전히 모든 액세스를 막을 수 있습니다. 그러나 DB 서버 자체는 네트워크 내부에 액세스 할 수 없습니다.
MSSQL 서버의 경우 정상적인 기능의 일부로 AD DC와 통신해야하기 때문에 2 차 DMZ가 필요할 수 있습니다 (도메인 통합이 아닌 SQL 계정을 사용하지 않는 한이 시점에서는 무의미합니다). 두 번째 DMZ는 먼저 웹 서버를 통해 프록시 처리 되더라도 일종의 공개 액세스가 필요한 Windows 서버의 홈입니다. 네트워크 보안 사람들은 공개 액세스를 경험하는 도메인 머신이 DC에 액세스하는 것을 고려할 때 흠집을냅니다. 그러나 Microsoft는이 문제에 대해 많은 선택을하지 않습니다.
나는 이론적으로 당신의 네트워킹 사람들과 함께 있습니다. 다른 배열은 누군가가 웹 서버를 손상시킬 때 LAN에 문의하는 것을 의미합니다.
물론 현실은 중요한 역할을합니다. DMZ와 LAN 모두에서 액세스 할 수있는 라이브 데이터가 필요한 경우 옵션이 거의 없습니다. 아마 MSSQL 서버와 같은 서버가 살 수있는 "더러운"내부 서브넷이 좋은 타협점이라고 제안 할 것입니다. 해당 서브넷은 DMZ와 LAN 모두에서 액세스 할 수 있지만 LAN과 DMZ에 대한 연결을 시작할 수 없도록 방화벽에서 분리되었습니다.