Это должен быть очень простой вопрос, и я попытался исследовать его и не смог найти надежного ответа.
Скажем, у вас есть веб-сервер в DMZ и сервер MSSQL в локальной сети. IMO, и то, что я всегда считал правильным, заключается в том, что веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети (возможно, вам придется открыть порт в брандмауэре, это было бы ок, имо).
Наши сетевые ребята теперь говорят нам, что мы не можем иметь никакого доступа к серверу MSSQL в локальной сети из DMZ. Они говорят, что что-либо в DMZ должно быть доступно только из локальной сети (и сети), и что DMZ не должна иметь доступа к локальной сети, так же как сеть не имеет доступа к локальной сети.
Итак, мой вопрос, кто прав? Должна ли DMZ иметь доступ к локальной сети? Или, если доступ к локальной сети из DMZ строго запрещен. Все это предполагает типичную конфигурацию DMZ.
Я с твоими сетевыми парнями, в теории. Любая другая договоренность означает, что когда кто-то скомпрометирует веб-сервер, у него есть дверь в вашу локальную сеть.
Конечно, реальность должна сыграть свою роль - если вам нужны живые данные, доступные как из DMZ, так и из локальной сети, то у вас действительно есть несколько вариантов. Я бы, вероятно, предположил, что хорошим компромиссом будет «грязная» внутренняя подсеть, в которой могут жить серверы, такие как сервер MSSQL. Эта подсеть будет доступна как из DMZ, так и из локальной сети, но она не сможет инициировать подключения к локальной сети и DMZ.
источник
Если все, что вы пропускаете через брандмауэр, это SQL-соединения от DMZ-сервера к MS-SQL-серверу, тогда это не должно быть проблемой.
источник
Я публикую свой ответ, потому что хочу увидеть, как за него проголосовали ...
Веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети. Если это невозможно, как вы предлагаете получить доступ к серверу MSSQL в локальной сети? Вы не могли!
источник