【問題】設DMZ可以網路芳鄰存取檔案嗎?



贊助商連結


Jason Chen
2007-05-07, 04:58 PM
原系統架構:
內部電腦(192.168.1.X)---(192.168.1.201)SQL Server(10.100.180.201)---(10.100.180.x)外部電腦
外部電腦可透過網芳(or Winddows 檔案總管)功能讀取SQL Server分享的目錄
Ex: \\SQLServer\Share

加入防火牆硬體系統架構:
內部電腦(192.168.1.X)---(192.168.1.201)SQL Server(10.100.180.201 in DMZ)---(LAN)FireWall(WAN)---(10.100.180.x)外部電腦
外部電腦可以透過網方功能讀取SQL Server分享的目錄嗎?

贊助商連結


hhdig
2007-05-07, 05:11 PM
照您說明的狀況,你的SQL是跨在兩個網段上的囉!!!
然後你現在要將外部的電腦跟SQL之間使用防火牆隔開
可是您將10.100.180.201加在DMZ上..........感覺好奇怪耶
您外部的電腦是可以使用\\IP address\分享目錄來讀取SQL上的資料
在防火牆上必須開放445的埠口直接指定到SQL的ip上,就應該可以達成了

Jason Chen
2007-05-07, 05:26 PM
照您說明的狀況,你的SQL是跨在兩個網段上的囉!!!
然後你現在要將外部的電腦跟SQL之間使用防火牆隔開
可是您將10.100.180.201加在DMZ上..........感覺好奇怪耶
您外部的電腦是可以使用\\IP address\分享目錄來讀取SQL上的資料
在防火牆上必須開放445的埠口直接指定到SQL的ip上,就應該可以達成了
謝謝您的回答

SQL上本身就是怕病毒已有Server級防毒軟體(Norton, Trend, 下次考慮買KAV for winserver)
以兩片網卡區隔內外部電腦
兩片網卡在OS上關掉Route功能
\\IP address\分享目錄 設定唯獨
但還是三不五時SQL還是中毒掛掉

"可是您將10.100.180.201加在DMZ上"
這是客戶的要求
因我寫的程序需透過\\IP address\分享目錄
加上硬體防火牆後
我不知道要開那一個port

"445的埠口是用在\\IP address\分享目錄"
我找了非常久
再次感謝您:)

ps
硬體防火牆是打算買
ZyWALL 5 UTM
有內建KAV:D

ivantw
2007-05-07, 05:39 PM
怎麼看都覺得不安全,把 SQL Server 放在DMZ內,不就等於是擺在 FW 外嗎? :|||:

我認為要改的是架構,不建議在 SQL Sever 上開放 Share Folder,除非你能承受資料遺失或外洩的風險,況且使用 \\IP\ShareFolder 這樣的檔案交換存取方式也不怎麼安全,即使要用也應該是存放於另外一台 Server上,檔案交換的方式可考慮改用 FTP 之類的方法,搭配合適的權限,並在 FW 上開放適當的 Port 即可,這樣是不是安全些?

Jason Chen
2007-05-07, 06:38 PM
怎麼看都覺得不安全,把 SQL Server 放在DMZ內,不就等於是擺在 FW 外嗎? :|||:

我認為要改的是架構,不建議在 SQL Sever 上開放 Share Folder,除非你能承受資料遺失或外洩的風險,況且使用 \\IP\ShareFolder 這樣的檔案交換存取方式也不怎麼安全,即使要用也應該是存放於另外一台 Server上,檔案交換的方式可考慮改用 FTP 之類的方法,搭配合適的權限,並在 FW 上開放適當的 Port 即可,這樣是不是安全些?
Thanks!

不考慮資料遺失或外洩的風險
因為資料隨時在更新
Client Readonly
\\IP\ShareFolder 是考量資料快速及時效性
30sec更新128KByte資料
10min更新1MByte資料

剛細看要求的效能
滿載時達到處理375 Mbps(含)以上效能
128,000個Concurrent Sessions及
4,000個存取過濾條件設定能力

好像要到70 UTM等級才夠力
外部電腦才30台XP而以, 有需要那麼好的嗎?