這裡的 Web 開發人員偶爾需要擔任系統和網路管理員的職務(小公司)。目前,我們有一台運行 Windows Server 2003 的託管伺服器,它同時運行我們的 Web 伺服器 (IIS/Coldfusion) 和資料庫伺服器 (SQL Server 2008)。我們透過只允許特定 IP 連接到 SQL 伺服器來鎖定它。不太理想,但到目前為止已經有效。
我們正在遷移到兩個不同的伺服器,我想藉此機會“把事情做好”,只讓網頁伺服器面向公眾。我需要做的是只允許少數人連接到資料庫伺服器。
我更願意使用 VPN 來讓人們通過,而不是使用 IP 允許列表,以便訪問基於用戶而不僅僅是用戶的位置。我傾向於 OpenVPN 之類的東西,這樣我就可以堅持使用 Server 2008 Web 版本。我是否:
- 使用Web伺服器作為VPN伺服器並將資料庫伺服器設定為僅接受來自Web伺服器的連線?是否需要額外的步驟來透過 VPN 而不是透過其他連線建立到 db.mycompany.com 路由的連線?我對網路基礎設施的這一部分一無所知。或者,
- 在資料庫伺服器上設定 VPN 伺服器作為唯一面向公眾的伺服器連接,這樣就不會出現任何路由問題需要處理?
我知道這是 Network 101 的內容,但我想在大驚小怪之前先問一下,因為這可能會對公司造成一些影響。非常感謝!
答案1
我會將 VPN 移至防火牆(任何基本的 cisco 都可以很好地處理這個問題)
設定兩個區域,您的「安全區域」包含您的資料庫和後端伺服器以及儲存私人或敏感資訊的任何內容。
那麼你的非軍事區對於您的網頁伺服器。如果您的網頁伺服器遭到駭客攻擊(更多的是何時的問題,然後是如果。)他們無法直接存取包含敏感資訊的電腦。
編輯:這是假設您有能夠執行 VPN 的防火牆。 (你沒有提到任何關於防火牆的事情。如果你沒有提到,我會把VPN放在網路伺服器上。而不是最好的選項,但可能會更糟。我還建議為您的網站伺服器使用某種日誌記錄/絆線軟體,以防萬一它們確實受到損害,您會盡快知道。希望您能在他們獲得 VPN 金鑰、開始攻擊您的資料庫或開始造成大問題之前將其關閉:P。
