iT邦幫忙

0

dmz架構

  • 分享至 

  • xImage

設備廠商a使用mysql 192.168.1.100 (設備不會連到網際網路)
設備廠商b使用sql-s 192.168.1.101 (設備不會連到網際網路)

情況1
廠商a + 廠商b接到同一台L2乙太交換器(1)
再接至硬體防火牆f01

硬體防火牆f01
1條接L2乙太交換器(2)內網
內網 10.3.1.100
dmz接 10.3.1.101 此台接收廠商ab的資料庫資料
內網擷取dmz內的資料

情況二
廠商a + 廠商b接到同一台L2乙太交換器(1)
L2乙太交換器(1)只開放 *********
mysql 3306/tcp
ms-sql-s 1433/tcp
ms-sql-s 1434/tcp/udp
直接接到內網b卡

1條接L2乙太交換器(2)內網
內網 10.3.1.100
內網10.3.1.101 (雙網卡)
a卡接內網
b卡接此台接收廠商ab的資料庫資料
內網互相擷取資料

情況二這樣安全嗎?

johnstudy iT邦新手 5 級 ‧ 2016-07-09 11:53:36 檢舉
感謝大家我大概有方向了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
做工仔人!
iT邦大師 1 級 ‧ 2016-07-05 09:05:15
最佳解答

描述上有點奇怪.
L2 的SWITCH 應該沒有PORT 過濾的功能. L3或防火牆 才會有.
所以請先確認:設定是L2 或L3
如果是L3的SWITCH 就比較好辦.
1.切VLAN 就好了.( 切10.3.1.0 及 192.168.1.0的VLAN)
2.基本上 VLAN 本身可以互通.(除非你自己去限制它不能通)
3.如果那二台SERVER 不上INTERNET 的話, 就從防火牆設定
內對外: 192.168.1.0 TO 0.0.0.0 DENY 就好了.

不用特別設DMZ .
PS : DMZ 是防火牆上的功能, 不是 L2 或 L3 的功能.
也就是說:防火牆上網路口可以切成三部份: 外部/內部/DMZ .
再利用防火牆規則來決定存取功能.

0
cafebug
iT邦高手 1 級 ‧ 2016-07-05 00:31:16

建議你先畫個連接圖會比較清楚,大家也可以更容易幫你解決問題 ^^

我要發表回答

立即登入回答