问:我有三台Window 2000服务器,每一个都部署在分离的隔离区(DMZ)里,我想用软件对他们进行备份,软件运行在内部网中的服务器上。我可以通过配置额外的网卡来访问我们的内部网络,而不是开启防火墙的端口吗?这只用于备份。如果这是可行的,我必须禁用其他的网卡吗? 答:假设服务器有多个网卡,你应该把它们连接到内部网上。然而,这样会完全绕过防火墙,使你的服务器成为不经过防火墙进入内部网的路由。
我认为你不会真的想要这种方法,即使当连接到内部网时禁用其他的网卡。如果服务器感染了特洛伊木马并向其他机器任意传播会怎样呢?当新接口出现,它就有机会向内部网传播。并且,这违背了防火墙在网络最前方的初衷。……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我有三台Window 2000服务器,每一个都部署在分离的隔离区(DMZ)里,我想用软件对他们进行备份,软件运行在内部网中的服务器上。我可以通过配置额外的网卡来访问我们的内部网络,而不是开启防火墙的端口吗?这只用于备份。如果这是可行的,我必须禁用其他的网卡吗?
答:假设服务器有多个网卡,你应该把它们连接到内部网上。然而,这样会完全绕过防火墙,使你的服务器成为不经过防火墙进入内部网的路由。
我认为你不会真的想要这种方法,即使当连接到内部网时禁用其他的网卡。如果服务器感染了特洛伊木马并向其他机器任意传播会怎样呢?当新接口出现,它就有机会向内部网传播。并且,这违背了防火墙在网络最前方的初衷。
你的防火墙可以只对指定的MAC地址开放所需的端口吗?如果可以,这提供了一个方法,限制使用这个端口的机器(是的。我知道MAC地址可以伪造,但是要先知道正确的MAC地址是什么。)
另一个方法是,在DMZ里建立到服务器安全通道。有双向认证的SSL可以很好地解决这个问题,只要知道每一台机器的通信目标。
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]