Controlador de domínio, servidor Web, banco de dados, configuração e segurança pública e privada

1

Por enquanto, tenho um servidor Web / App e um servidor de banco de dados. Eu quero ter uma rede privada, além da rede externa. Eu quero meu banco de dados para ser acessível apenas no domínio interno pelo serviço de aplicativo da Web. Comecei tornando meu servidor WEB / app um controlador de domínio e simplesmente adicionei o banco de dados ao domínio chamado de forma diferente do domínio externo.

Devo ter tornado o servidor de banco de dados o controlador de domínio? Meu DataServer também possui um IP público para o RDC. Como eu procedo na estruturação dos domínios para que eu possa ter certeza de que as solicitações externas só acabarão executando o WebApplication no WebServer e não na minha rede privada?

Tudo parece fechar para o conforto. Gostaria de receber algumas orientações sobre como configurar levando em conta que eu fiz adicionar mais servidores abaixo da estrada.

    
por zsharp 14.10.2009 / 00:35

1 resposta

1

Normalmente você teria uma DMZ para algo assim. Ter os DCs e o servidor de banco de dados no lado confiável do seu firewall.

Em seguida, coloque seu servidor da web na DMZ e só abra as portas da DMZ para Trust necessárias para que o domínio funcione corretamente (DNS, etc) e para que o servidor da Web se comunique com o servidor de banco de dados.

Em seguida, você abriria as portas necessárias para o seu servidor da Web de Untrust (tráfego externo) para DMZ.

Existem alguns debates sobre se os servidores de banco de dados críticos devem ou não estar no lado confiável de um firewall ou em um DMZ, isso realmente depende, mas eu prefiro mantê-los fora de um DMZ possível se eles contiverem dados críticos.

Os prós e contras da colocação do servidor de banco de dados são que os servidores DMZ têm maior probabilidade de serem comprometidos porque geralmente têm mais serviços voltados para a Internet. Isso tornaria o seu servidor de banco de dados mais provável de ser comprometido, mesmo que não tenha serviços voltados para a Internet. Por isso, é mais seguro dentro da interface confiável (rede interna). No entanto, você está conectando um servidor do seu lado confiável à DMZ, o que pode potencialmente expor sua rede confiável a atividades mal-intencionadas. Se você expor apenas as portas necessárias para a conectividade do banco de dados, esse risco é geralmente mínimo. É por isso que eu, pessoalmente, prefiro servidores de banco de dados para permanecerem dentro da interface confiável e apenas abrirem as portas necessárias para o DMZ apenas.

    
por 14.10.2009 / 02:01