问题标签 [dmz]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
database - Oracle DB (Intranet) ->(DMZ) 通过单向防火墙进行数据复制
我有 2 台 Oracle 10.2.0.4 服务器,一台位于我们的内部 Intranet 网络中,另一台位于我们的 DMZ 网络中供公众访问。出于安全原因,我无法打开双向防火墙规则,我只能从 Intranet -> DMZ 建立 DB 链接,而不能从另一个方向建立。
我的要求是在两个数据库之间的预定时间间隔保持表同步。我最初的计划是使用物化视图,但这项技术需要双向数据库链接,而我无法做到。
任何人对如何实现这一目标有任何建议将不胜感激。我试图远离 3rd 方产品,因为我觉得那里必须有一个简单的解决方案,但很高兴听到任何见解。
windows - 从 DMZ 连接到 Active Directory 的最安全方法是什么?
我有一个 Web DMZ 服务器,它承载一个“Extranet”ASP.NET 应用程序。我希望用户应该使用他们在工作时在 Windows 上使用的相同用户和密码对该应用程序进行身份验证。(我们正在使用 Active Directory)
我想知道从 DMZ Web 服务器连接到 Active Directory 的最佳方式是什么——最安全的方式。
现在我看到了两种可能性:
- RODC
- LDAP Over SSL (LDAPS)
您还有其他选择吗?我应该考虑哪些其他选择?任何这些解决方案有任何限制或潜在问题吗?
networking - 保护 Web 服务器,但允许开发人员访问
我们在 DMZ 中有一个 Web 服务器,它可以访问 Internet(当然)和 RDP 通过内部防火墙访问我们的内部网络。我们的 Web 开发人员(使用包括 Visual Studio 在内的许多不同工具)需要能够将内容更改和新项目“发布”到 Web 服务器上的特定文件夹。此功能需要将驱动器映射到您要发布到的服务器。
问题是,我们的网络团队拒绝在内部开放 NTFS 对服务器的访问。我有点同意他们的观点——没有办法通过端口号来限制 NTFS 访问。它根本不作为我所知道的选项存在。
所以我们的问题变成了——其他公司必须有这种需要来保护从内部网络进出 Web 服务器的流量。如何在不完全打开 Web 服务器的情况下允许映射驱动器到 DMZ 中的 Web 服务器?
谢谢
ssl - DMZ 服务器上的 ISAPI 过滤器 LDAP 身份验证错误
我正在为我们在 DMZ 中运行的 Web 服务器编写 ISAPI 过滤器。此 ISAPI 过滤器需要连接到我们的内部域控制器以针对 Active Directory 进行身份验证。防火墙中有一条规则允许从 DMZ 服务器到我们的域控制器的 636 端口上的流量,并且防火墙显示流量可以正常通过。问题出在ldap_connect()功能上。0x51 Server Down尝试建立连接时出现错误。我们使用域控制器 IP 地址而不是 DNS 名称,因为 Web 服务器位于域之外。
ISAPI LDAP 连接代码:
servers = <DC IP Address>
我已经在与 AD 位于同一域内的本地计算机上测试了此代码,并且它可以在 LDAP 和 LDAP over SSL 上运行。我们在域控制器上安装了来自 Active Directory 注册策略的服务器证书,但我在其他地方读到我可能还需要安装客户端证书(用于我们的 Web 服务器)。这是真的?
此外,我们有一个单独的 wordpress 站点运行在同一个 DMZ Web 服务器上,它通过 SSL 连接到 LDAP 就好了。它通过 PHP 使用 OpenLDAP 进行连接,并使用我们的域控制器的 IP 地址进行连接。我们有一个 ldap.conf 文件,其中包含一行代码:TLS_REQCERT never。有没有办法在 Visual C 中用我正在尝试为 ISAPI 过滤器做的事情来模仿这种效果?希望这是一个编程问题,而不是证书问题。如果这超出了编程范围,请让我知道或将我重定向到更好的地方发布此内容。
谢谢!
routing - 错误 691 VPN Windows Server 2011 SBS
我们的网络建立在 ESXi 5 上,该 ESXi 5 通过 IPCop 连接到第二个 NIC。在第一个 NIC 上,它通过一个交换机与我的所有客户端连接。
在 ESXi 上,我有一个带有 2 个 NIC 的 Windows Server SBS 2011 Standard。一个用于我的专用网络,另一个用于连接到互联网。
我已经设法让它与 RRAS 一起工作,但不知何故我无法通过 VPN 连接到我的服务器。我总是得到 691 错误。我使用 PPTP 作为协议,我正在转发所需的端口……我什至禁用了 Windows 防火墙进行测试。
错误告诉我检查我是否输入了正确的用户名或密码,否则 RAS 服务器可能不允许 authenticationprotocoll... 但是在我的 RAS 设置中,我为 ras 和路由激活了 pptp 端口。
对此有什么帮助吗?
routing - 将 TFS 公开到 Internet
我已经在家庭服务器上安装 TFS 很长时间了,我喜欢它。现在我需要在互联网上公开它,因为我和其他一些人需要从事一个编程项目。
我有一个 DLink 路由器“DIR-825”,并且已经做了很多研究,但我对为什么我无法让它工作感到有点困惑。我尝试使用我的家庭服务器 IP 地址 192.168.1.08 进行端口转发甚至 DMZ(禁用计算机防火墙),即使在 DMZ 中也无法正常工作。我的路由器 WAN 地址与 Google 所说的我的 IP 地址相匹配。
当我把我的电脑放在路由器外面时,一切都很好,只有当它在路由器中时,使用 WAN 地址时没有任何东西可以连接到它。
当我使用这个网站时:http ://canyouseeme.org/
它说端口 80、8080 和 8081 在我的 WAN IP 地址上都是开放的。
我唯一能想到的是路由器将我的 WAN ip 路由到错误的计算机。如果你们认为是这样,我将如何解决?
如果不是这种情况,我应该怎么做才能让它工作?
我不是网络专家,所以需要任何建议。
谢谢你
debugging - 如何在没有 Internet 访问的服务器中安装 Windows Web 服务 API (WWSAPI)
我正在尝试在开发环境中使用位于 DMZ 中的 Windows Server 2008 R2 SP1 x64 的服务器中的 Visual Studio 2012 远程调试器。此服务器不直接访问 Internet,而是通过防火墙访问。所以,我从我的工作站下载了 Visual Studio 2012 的远程工具,并将其复制到服务器,安装它,一切正常。
好吧,当我启动远程调试器配置向导并尝试安装 Windows Web 服务 API 时,它失败并显示下一条消息:
未能完成 Visual Studio 远程调试器配置向导
调试器无法安装 Windows Web 服务 API。下载更新安装程序失败。请确保您的计算机能够访问互联网。
下载地址: http: //go.microsoft.com/fwklink/ ?LinkId =215754 内部代码:0x800c0005
要关闭向导,请单击完成。
所以,因为我是个好孩子,我按完成关闭向导。但在我转到向导提供的下载 URL 之前,并没有成功,因为它把我带到了 Microsoft.com 搜索 ( http://search.microsoft.com/en-US/search.aspx )。
但是,我是男人!我不会哭,并继续谷歌搜索(搜索?)但是这次我正在搜索 WWSAPI Redistributable,但当时没有成功,然后我在这里搜索了与我类似的情况,这就是我得到的无法安装Windows Web Services API for Remote Debugging with VS2012,但没有解决方案,所以我决定在 StackOverflow 上提问,因为我几乎迫切希望找到解决方案。所以,我希望你能帮助我找到解决我的情况的方法。谢谢!
security - NTP 服务器应该驻留在 DMZ 中吗?有哪些安全问题?
NTP 服务器应该驻留在 DMZ 中吗?有哪些安全问题?我正在做网络架构安全审查。
asp.net - Connecting to internal SQL Server 2008 R2 from DMZ web server using IIS7 using a trusted connection?
I'm trying to connect and getting an error like:
Login failed. The login cannot be used with Windows Authentication
I'm using mirrored local accounts on SQL Server and web server because I'm simply trying to use a trusted connection between machines not on the same domain. It seems like something that would be fairly common, but after days of trying to find an answer that applied to my situation, I do not recognize that any of the answers were applicable... that or the fact that I'm only a .NET developer and not a sysadmin or DBA means I have it and just don't know it.
Here's what I can say:
- CMS web server: ASP.NET 4.0 web app running on Windows Server 2008, IIS7, on corporate DMZ
- CMS database server: SQL Server 2008 R2 on a domain server
- For various reasons that I won't go in to, encrypting the credentials is not sufficient.
- The database port that the application needs to connect on is not the standard port and is set up to listen on a different port.
- Setting up DB mirroring isn't an option and doesn't really address the requirements (in my way of thinking)
Also, FYI if this is helpful to know:
- Content entry happens on internal web server which publishes content to same DB that is accessed by the DMZ web server.
Content server is set up to have the website run the app pool in integrated mode with a windows domain user that has been set as a service account using the -ga switch and given all the appropriate rights and everything runs perfect.
External web server, without domain access, using mirrored accounts (same username and password set up on the SQL Server machine and web machine).
- Local account on the web server set as a service account using -ga switch and running as the app pool identity for my app.
- On the SQL Server box, created local user with identical creds and given same permissions that the domain user identity has
- Connecting to SQL Server via MGMT studio installed on web server with the SQL Server user creds works fine.
Now, if I put in the username in to the connection strings, everything is perfect. As soon as I put the trusted_connection=yes in the connection string like I did with the domain server connection strings, I get the trust error.
So if my connection string is like this, it works fine:
If I change my connection string to either of these, it fails:
or
I'm working with one of the client's network admins and he's not necessarily a DBA and doesn't have experience with configuring web apps. So it's possible that we're missing something and any advice or ideas would help. What am I missing?
security - 是否可以在网络级别严格限制前端和后端 Azure IaaS VM 之间的入口和出口流量?
我想使用IaaS VM在 Azure 上创建一个超偏执的中心辐射型DMZ设置。
我有一个面向公共 Internet 的前端服务器(即 IIS Web 服务器),我想严格锁定它。但是,前端需要访问一些后端服务器(即数据库、域控制器等)。我想确保:
- 只有前端服务器可以与后端服务器通信,并且只能在商定的端口上进行通信。
- 后端服务器无法从/向公共互联网接收或发送流量。
- 后端服务器无法相互通信。
- 这些规则在 VM 操作系统层之外实施,以提供深度防御。
这似乎是一个合理的场景,但我似乎无法在 Azure 上实现它。我能做的最接近的是:
- 创建 IaaS VM 前端并适当限制其端点
- 创建具有“前端”和“后端”子网的Azure 虚拟网络,将每台计算机放置在适当的子网上。
- 阻止 RDP 访问后端虚拟机。如果我想 RDP 到后端机器,我必须通过前端 VM 来完成。
- 在每台机器上设置 Windows 防火墙规则,以强制执行这些中心辐射式规则。
这工作正常,但它不像我想要的那样锁定。我真的很想进行深度防御,这样我就不必依赖每台机器上的 Windows/Linux 防火墙设置。例如,假设后端服务器必须使用管理员凭据运行应用程序(假设没有替代方案)。我想要一个额外的保护层,这样后端服务器上的错误(或恶意查询)就不能:
- 重新配置后端的防火墙以减少限制。
- 与前端机器以外的任何人交谈(包括公共互联网)。
据我所知,这在使用虚拟网络的 Azure 上是不可能的,因为:
- Azure 虚拟网络似乎没有公开 ACL 或任何其他高级筛选支持。
- Azure IaaS VM 仅支持单个 NIC,因此前端不能同时在前端和后端子网上进行多宿主。
我错过了什么吗?似乎我可以使用多个虚拟网络一起破解某些东西,并将它们作为一堆 /30 子网一起使用 VPN,但这看起来很糟糕。如果我无法在 Azure 上解决这个问题,似乎我唯一合理的选择是尝试使用Virtual Private Cloud (VPC)在AWS上设置类似的东西。任何帮助/指导将不胜感激。