web-dev-qa-db-ja.com

DMZ=内のWebサーバーに、LAN内のMSSQLへのアクセスを許可する必要がありますか?

これは非常に基本的な質問であるはずです。私はそれを調査しようとしましたが、確かな答えを見つけることができませんでした。

DMZにWebサーバーがあり、LANにMSSQLサーバーがあるとします。 IMO、および私が常に正しいと想定していたことは、DMZ内のWebサーバーがLAN内のMSSQLサーバーにアクセスできる必要があることです(おそらく、ファイアウォール、それは大丈夫ですIMO)。

ネットワーキングの担当者は、DMZからLAN内のMSSQLサーバーにアクセスできないことを伝えています。彼らは、DMZ内のすべてのものはLAN(およびWeb)からのみアクセス可能であり、DMZはLANへのアクセス権を持たないようにする必要があると述べています。 LANへのアクセス。

だから私の質問は、誰が正しいのですか? DMZにLANへのアクセス/ LANからのアクセスが必要ですか?または、DMZからLANへのアクセスを厳密に禁止する必要があります。これはすべて、一般的なDMZ構成を前提としています。

12
Allen

適切なネットワークセキュリティでは、DMZサーバーは「信頼された」ネットワークにアクセスできません。信頼されたネットワークはDMZにアクセスできますが、その逆はできません。DBでバックアップされたWeb-あなたのようなサーバーはこれが問題になる可能性があります。これが、データベースサーバーがDMZになる理由です。DMZにあるからといって、パブリックアクセスを持っている必要があるという意味ではなく、外部ファイアウォールでそれでも、すべてのアクセスを阻止しますが、DBサーバー自体はネットワーク内部にアクセスできません。

MSSQLサーバーの場合、通常の機能の一部としてAD DCと通信する必要があるため、おそらく2番目のDMZ=が必要です(ドメイン統合ではなくSQLアカウントを使用している場合を除く)。これは意味がない点です。2番目のDMZは、最初にWebサーバー経由でプロキシされた場合でも、何らかのパブリックアクセスを必要とするWindowsサーバーのホームになります。ネットワークセキュリティの人々は、彼らはパブリックアクセスを経験しているドメイン化されたマシンがDCにアクセスすることを検討しますが、これは売り難いかもしれませんが、マイクロソフトはこの問題について多くの選択肢を残していません。

14
sysadmin1138

理論的には、私はあなたのネットワーキング関係者と一緒です。他の配置は、誰かがWebサーバーを危険にさらしたときに、あなたのLANへのドアを持っていることを意味します。

もちろん、現実が役割を果たす必要があります。DMZとLANの両方からアクセスできるライブデータが必要な場合は、いくつかの選択肢があります。おそらく、適切な妥協案を提案します。 MSSQLサーバーのようなサーバーが存在する可能性がある「ダーティ」な内部サブネット。そのサブネットにはDMZとLANの両方からアクセスできますが、LANとDMZ。

4
Cry Havok

ファイアウォールを通過させているのがDMZサーバーからMS-SQLサーバーへのSQL接続だけである場合、問題はありません。

1