我们在DMZ中有一个Web服务器,它具有对Internet的开放访问权限(当然)以及通过内部防火墙对我们内部网络的RDP访问。 我们的Web开发人员(使用许多不同的工具,包括Visual Studio)需要能够将内容更改和新项目“发布”到Web服务器上的特定文件夹。此功能需要将驱动器映射到要发布到的服务器。
问题是,我们的网络团队拒绝在内部打开对服务器的NTFS访问。我有点同意他们 - 没有办法通过端口号限制NTFS访问。它根本不存在作为我所知的选项。
所以我们的问题就变成了 - 其他公司必须要求保护从内部网络进出Web服务器的流量。如何在不完全打开Web服务器的情况下允许映射驱动器到DMZ中的Web服务器?
由于
答案 0 :(得分:1)
CIFS通常在以下几个端口之一上运行:TCP 445,137,139; UDP 137,138。您的防火墙团队应该能够将这些特定端口的漏洞推送到应该有权更新实时网络服务器的特定内部主机。
如果它是主机两侧都有单独防火墙的“真正”DMZ,则应该很容易修改防火墙和Web服务器的主机防火墙以允许访问。如果DMZ使用单个防火墙“伪造”一点,仍然可以仅允许来自防火墙和服务器主机防火墙上的内部主机的访问,但我可以理解对单个防火墙非常信任的沉默