Essa deve ser uma pergunta muito básica e tentei pesquisar e não consegui encontrar uma resposta sólida.
Digamos que você tenha um servidor Web na DMZ e um servidor MSSQL na LAN. A IMO, e o que eu sempre assumi estar correto, é que o servidor da Web na DMZ deve poder acessar o servidor MSSQL na LAN (talvez você precise abrir uma porta no firewall, isso seria ok IMO).
Nosso pessoal de rede agora está nos dizendo que não podemos ter acesso ao servidor MSSQL na LAN a partir da DMZ. Eles dizem que qualquer coisa na DMZ deve ser acessível apenas a partir da LAN (e da Web) e que a DMZ não deve ter acesso à LAN, assim como a Web não tem acesso à LAN.
Então, minha pergunta é: quem está certo? A DMZ deve ter acesso à / da LAN? Ou, deve ser estritamente proibido acessar a LAN a partir da DMZ. Tudo isso assume uma configuração típica da DMZ.
fonte
Estou com o pessoal da rede, em teoria. Qualquer outro arranjo significa que, quando alguém compromete o servidor da Web, ele tem uma porta na sua LAN.
Obviamente, a realidade tem um papel a desempenhar - se você precisar de dados ao vivo acessíveis a partir da DMZ e da LAN, então você realmente tem poucas opções. Eu provavelmente sugeriria que um bom compromisso seria uma sub-rede interna "suja" que servidores como o servidor MSSQL poderiam viver. Essa sub-rede seria acessível a partir da DMZ e da LAN, mas protegida por firewall por não poder iniciar conexões com a LAN e a DMZ.
fonte
Se tudo o que você está deixando passar pelo firewall são conexões SQL do servidor DMZ para o servidor MS-SQL, isso não deve ser um problema.
fonte
Estou postando minha resposta porque quero ver como foi votada ...
O servidor da Web na DMZ deve poder acessar o servidor MSSQL na LAN. Se não puder, como você propõe obter acesso a um servidor MSSQL na LAN? Você não conseguiu!
fonte