IIS DMZ SQL LAN

[mickey 10]

Hallo alle!

 

Ich dachte meine Frage wäre quasi alltäglich, nur leider habe ich mich da etwas geirrt.

 

folgendes Szenario:

 

Internet

=======

FIREWALL

=======

DMZ

IIS

APACHE

========

FIREWALL

========

LAN

AchtiveDirectory

EXCHANGE

SQL

===========

 

Also ich würde gerne einen IIS in eine DMZ Stellen.

auf diesem IIS befindet sich eine Applikation welche sowohl aus dem LAN als auch dem WAN (Internet) aufgerufen wird.

Diese Applikation benötigt Daten aus einem SQL 2k8 Server.

die Applikation am IIS ist keine SSO (SingleSignOn) Applikation, somit keine ATUH übers ActieDirectory.

 

Meine Frage: wird so etwas auch so gemacht, wenn ja:

Soll der IIS im ActiveDirectory hängen, oder nicht?

Ist dieses Schema auch empfohlen?

 

Als Firewall wird eine CISCO 5550 eingesetzt.

 

[NeMiX 76]

Haben wir auch relativ häufig im Einsatz, allerdings meistens mit einem TMG als 2. Firewall der das ganze veröffentlicht. Den IIS versuchen wir nicht ins AD zu hängen, lässt sich aber manchmal leider nicht vermeiden.

 

Du machst halt Port 80 offen ins Internet, da sollte man eine gute Updatepolicy haben und sich regelmässig um das System kümmern.

[mickey 10]

OK, also wird das doch noch so praktiziert. ist das auch von allen Securityaspekten so empfohlen?

Welche ports müssen ins LAN von der DMZ offen sein für die SQL DB?

reicht also eine TCP/IP Kommunikation?

 

danke & grüße

[NeMiX 76]

Port 1433 ist da der Standard, wir haben auch einen Kunden der den umgebogen hat, weil er sich damit sicherer fühlt. Ist also kein reines Portforwarding sondern ein NAT auf der Inbound Firewall.

 

Naja wenn du bedenkst das an relativ vielen Internetseiten irgendwie eine DB dranhängt, wird das wohl häufiger praktiziert. Eine gute Doku, regelmässige Überprüfung und ggf. ein Monitoring sollte man dafür einsetzen ist meine Meinung dazu. Vielleicht kommt ja noch Input von anderen Teilnehmern.