Веб-разработчик, которому иногда приходится носить шляпу системного и сетевого администратора (небольшая компания). В настоящее время у нас есть один размещенный сервер под управлением Windows Server 2003, на котором работают как наш веб-сервер (IIS/Coldfusion), так и наш сервер базы данных (SQL Server 2008). Мы блокируем SQL-сервер, разрешая подключаться к нему только с определенных IP-адресов. Не идеально, но пока работает.
Мы переходим на два отдельных сервера, и я хочу воспользоваться возможностью «сделать все правильно» и сделать так, чтобы только веб-сервер был доступен публике. Мне нужно иметь возможность разрешить только нескольким людям подключаться к серверу базы данных.
Вместо использования списка разрешенных IP-адресов я бы предпочел использовать VPN, чтобы пропускать людей, чтобы доступ был основан на пользователе, а не просто на его местоположении. Я склоняюсь к чему-то вроде OpenVPN, просто чтобы иметь возможность использовать Server 2008 Web edition. Мне следует:
- Использовать веб-сервер как VPN-сервер и настроить сервер базы данных на прием подключений только с веб-сервера? Требуется ли дополнительный шаг, чтобы подключения, скажем, к db.mycompany.com проходили через VPN, а не через другое подключение? Я не разбираюсь в этой части сетевой инфраструктуры. Или,
- Настроить VPN-сервер на сервере базы данных как единственное общедоступное серверное соединение, чтобы не возникало проблем с маршрутизацией?
Я знаю, что это часть Network 101, но я подумал, что лучше спросить, прежде чем просто вдаваться в подробности, поскольку это может немного повлиять на компанию. Большое спасибо!
решение1
Я бы переместил VPN на брандмауэр (любой базовый Cisco с этим справится)
Настройте две зоны: «Зону безопасности», которая содержит вашу базу данных и внутренние серверы, а также все, где хранится частная или конфиденциальная информация.
Тогда вашДМЗдля вашего веб-сервера(ов). Если ваш веб-сервер когда-нибудь будет взломан (это скорее вопрос времени, а не того, будет ли.) У них нет прямого доступа к машинам с конфиденциальной информацией.
Редактировать: Это предполагает, что у вас есть брандмауэр, способный работать с VPN. (Вы ничего не упомянули о брандмауэре. Если у вас его нет, я бы разместил VPN на веб-сервере. Нелучшийвариант, но могло быть и хуже. Я также предлагаю какое-то программное обеспечение для регистрации / tripwire для ваших веб-серверов, в случае, если они будут скомпрометированы, вы узнаете об этом как можно быстрее. Надеюсь, вы сможете отключить их до того, как они получат VPN-ключи, начнут долбить ваши базы данных или начнут создавать большие проблемы :P.
