設備廠商a使用mysql 192.168.1.100 (設備不會連到網際網路)
設備廠商b使用sql-s 192.168.1.101 (設備不會連到網際網路)
情況1
廠商a + 廠商b接到同一台L2乙太交換器(1)
再接至硬體防火牆f01
硬體防火牆f01
1條接L2乙太交換器(2)內網
內網 10.3.1.100
dmz接 10.3.1.101 此台接收廠商ab的資料庫資料
內網擷取dmz內的資料
情況二
廠商a + 廠商b接到同一台L2乙太交換器(1)
L2乙太交換器(1)只開放 *********
mysql 3306/tcp
ms-sql-s 1433/tcp
ms-sql-s 1434/tcp/udp
直接接到內網b卡
1條接L2乙太交換器(2)內網
內網 10.3.1.100
內網10.3.1.101 (雙網卡)
a卡接內網
b卡接此台接收廠商ab的資料庫資料
內網互相擷取資料
情況二這樣安全嗎?
描述上有點奇怪.
L2 的SWITCH 應該沒有PORT 過濾的功能. L3或防火牆 才會有.
所以請先確認:設定是L2 或L3
如果是L3的SWITCH 就比較好辦.
1.切VLAN 就好了.( 切10.3.1.0 及 192.168.1.0的VLAN)
2.基本上 VLAN 本身可以互通.(除非你自己去限制它不能通)
3.如果那二台SERVER 不上INTERNET 的話, 就從防火牆設定
內對外: 192.168.1.0 TO 0.0.0.0 DENY 就好了.
不用特別設DMZ .
PS : DMZ 是防火牆上的功能, 不是 L2 或 L3 的功能.
也就是說:防火牆上網路口可以切成三部份: 外部/內部/DMZ .
再利用防火牆規則來決定存取功能.