论坛: 系统集成 标题: 关于提供外网服务的服务器应该放在哪儿的讨论 复制本贴地址    
作者: 羽爵 [gerry]    版主   登录
其实一直以来一直有这个疑问,最近也终于有了点儿时间来想这个问题。
    问题是这样的,我们在以前的方案中,一般都将需要对外网提供服务的如WEB、MAIL等服务器物理连接到路由器上,并归入DMZ区,认为这样是理所当然的。至少在求学阶段,我也是这样认为的,一直到,应该是三年前吧,也就是差不多我加入20CN那时候,在一个小型网络的实施当中,我碰上了这个问题。由于该网络需要对外提供服务的MAIL和WEB服务器同时需要对内网提供同样的服务,同时,由于资源有限,其中的MAIL服务器同时还运行1433的SQL,这也是我做的第一个完整的网络。当时就是否将MAIL服务器与WEB一起放在DMZ区我们小组内部起了争执。我们的组长,也是项目经理认为应该按照一直以来的习惯放在DMZ,至于安全,经过系统与数据库的SA双认证,他认为应该没什么大问题。由于在那之前不久出过一个SQL漏洞,我也试过,所以提出了不同的意见。所以就这个问题我们分成了两个不同的见解,很可惜,小组内支持我的只有一个人,即我们是2:4的支持率,最后只好将之放置在DMZ区。就这样这个项目在一个月后总算完成。
    当然了,事情不可能就这样完了,要不也没讲的必要了。就在两个月后,记得应该是2002年下半年吧,当时出了个很出名的漏洞,甚至很多使用SQL的著名公司也被入侵了。很遗憾的,虽然我们做的那家公司没有被入侵,但经过测试,存在同样的漏洞。公司终于接受我们的提议,暂时按照我们所指的,使用rule在防火墙进行端口映射,然后将服务器接入核心交换。这样不但可以保证安全些,由于不用做DMZ,所以也不要求一定要将服务器接到路由器。另外,也因为核心交换可以做端口镜像、冗余和其全千兆的带宽,对内网可以更好地提供服务。按照这种做法,一直沿用至今。包括后来我负责的几个网络当中,都使用了类似的做法。
    而今天我提出来的话题就是,这两种做法对比起来有哪些优缺点?
    望不吝赐教!



[此贴被 羽爵(gerry) 在 10月17日04时13分 编辑过]

地主 发表时间: 05-10-17 04:12

回复: 带脚镣跳舞 [tuzi]   版主   登录
个人认为 还是放在DMZ
当然放置在DMZ肯定有一些先先决条件 比如打好补丁 关闭不必要的服务 没有公司的机密信息等
你所说的 放在DMZ的服务器不安全  一遇到什么漏洞 没有及时防御的话 就可能会挂

不放在DMZ 而放在内网  做PAT 和相关的RULE 等
比如对于WEB服务器 80端口的溢出同样可以成功的 穿透防火墙 比如4不象的 改变PEB结构 欺骗RULES  或者通过HTTP 隧道 发送telnet(23)登陆数据包
就算你设置了不允许远程telnet  通过HTTP 隧道同样可以欺骗成功
这样的话 如果攻击者获得了权限 会直接查看你的内部网络的信息 包括机密信息
如果放在DMZ 攻击得手  还需要进一步渗透到内网  难度加大

个人一点看法  请各位参考 指正 批评


[此贴被 带脚镣跳舞(tuzi) 在 10月17日06时15分 编辑过]

B1层 发表时间: 05-10-17 06:07

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号