需要將資料庫伺服器的3306埠在路由上映射出去,當然映射出去的埠號不一定非得是3306,可以自定義埠號,而且為了安全可以做一條策略,只允許dmz區的ip地址訪問。希望可以幫到你~
❷ 分別簡述防火牆的工作原理和主要功能是什麼 防火牆的工作原理和外網、非軍事區的特性
咨詢記錄 · 回答於2021-08-05
❸ 電腦網路中的DMZ是什麼
內容:
一:什麼是DMZ
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB,e-mail,等允許外部訪問的伺服器單獨接在該區埠,使整個需要保護的內部網路接在信任區埠後,不允許任何訪問,實現內外網分離,達到用戶需求。DMZ可以理解為一個不同於外網或內網的特殊網路區域,DMZ內通常放置一些不含機密信息的公用伺服器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中伺服器受到破壞,也不會對內網中的機密信息造成影響。
二:為什麼需要DMZ
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網路和主機的安全通常並不如人們想像的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序伺服器和資料庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
三:DMZ網路訪問控制策略
當規劃一個擁有DMZ的網路時候,我們可以明確各個網路之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通信,以保證內網安全。
四:DMZ服務配置
DMZ提供的服務是經過了地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網路拓撲,確定DMZ區應用伺服器的IP和埠號以及數據流向。通常網路通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。
1 地址轉換
DMZ區伺服器與內網區、外網區的通信是經過網路地址轉換(NAT)實現的。網路地址轉換用於將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網路的目的。DMZ區伺服器對內服務時映射成內網地址,對外服務時映射成外網地址。採用靜態映射配置網路地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
2 DMZ安全規則制定
安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也只是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網路安全是十分重要的。
FireGate可以根據數據包的地址、協議和埠進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網路連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMP、TCP、UDP)、源TCP/UDP 埠、目的TCP/UDP埠、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
為了讓DMZ區的應用伺服器能與內網中DB伺服器(服務埠4004、使用TCP協議)通信,需增加DMZ區安全規則, 這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。
DMZ無疑是網路安全防禦體系中重要組成部分,再加上入侵檢測和基於主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。
❹ db2資料庫不能訪問(linux系統)
下面說的方法需要你自己動手去排查:
1、確定服務是否運行正常,簡單,把訪問程序放到資料庫所在機器直接測試,如果不ok,屬於資料庫本身有問題,此處排查你應該可以控制,自行查找錯誤。如果不ok執行下面幾步。
2、確認linux防火牆是否開著,如果開著,看訪問規則是否對,要允許你配置的埠往外發數據,同時要允許想訪問服務的ip數據包可以發過來。還要注意別把埠給禁止掉。此處很簡單是不是防火牆影響,暫時把防火牆服務關閉掉。如:iptables service iptables stop。
3、第二步如果還不行,考慮你的網路是否經過某些特定的防火牆,你自己又控制不了,協調網路管理人員重設防火牆規則。讓該訪問的機器都能訪問到。你要用的應用埠也得打開。大公司,一般會把web伺服器或應用伺服器放到dmz區,該區的防火牆控制級別相當高。
Connection refused,屬於TCP錯誤,能報出此錯誤說明機器是通的。埠不可用的幾率很大,埠不可用分兩種:
a、應用服務沒啟動活沒在特定的埠啟動;可以這樣確認,netstat -a ,看你啟動的埠是否真是你期望的。
b、應用伺服器啟動出錯,導致網路監聽服務沒啟動,看資料庫日誌。
c、各級防火牆不允許訪問你期望的埠。解決方法如上2、3步驟。
如果還解決不了,網路上,應該沒人有那本事再幫你。
❺ 內網mysql伺服器映射到DMZ
不用寫,直接在路由器做設置就行
❻ 連接遠程資料庫
這個不是資料庫的問題,這個是你路由器配置的問題,你用內網地址能連上,說明你的軟體和資料庫都沒有問題
你就一個公網地址,路由器內部的私網有多台主機,這個公網地址分給誰?
只有一台主機能與外部的地址對應,打開你的路由器配置,在DMZ主機一欄裡面,把你的內網地址192.168.1.123寫進去
注意到192.168.1.123可能是DHCP獲得的,每次你連接路由器可能獲得的ip不一樣,建議你給你的主機固定ip
詳細設置,查詢你的路由器說明書
另外,125.63.62.238也可能是動態獲取的ip,建議你在自己機器上申請動態DNS的軟體,每15分鍾更新一次,並申請個動態域名,以後用域名訪問就容易了,可以申請的地方如 http://www.3322.org/
❼ dmz主機上的SQL2005資料庫連接不上,怎麼辦
你這個問題要具體分析。我們也只能猜出現這種問題的可能性:
1.你的資料庫是在dmz區,那你肯定是用防火牆了。防火牆配置好了沒有?是不是允許訪問資料庫?這些都在防火牆的訪問列表設置好的(各個硬體防火牆配置不盡相同,我在這沒辦法講)。首先你必段保證網路層是通的,這個是基礎。
2.第二個可能是微軟的sql預設聯接數據方式喜歡用管道(namepipe),這個在同一網段是可以的,跨網段就不行。因此建議將服務端和客戶端的聯接方式改為「tcp/ip"方式。這個才是放之四海皆能通的方式。
❽ 華為防火牆怎麼設置外網訪問內網伺服器上的資料庫
啟動: systemctl start firewalld
添加:firewall-cmd--zone=public--add-port=3306/tcp--permanent (--permanent永久生效,沒有此參數重啟後失效)
重新載入:firewall-cmd--reload
(8)dmz伺服器訪問資料庫擴展閱讀:
防火牆使用技巧
一、所有的防火牆文件規則必須更改。
盡管這種方法聽起來很容易,但是由於防火牆沒有內置的變動管理流程,因此文件更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改,那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火牆管理產品的中央控制台能全面可視所有的防火牆規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現並修理故障,讓整個協議管理更加簡單和高效。
二、以最小的許可權安裝所有的訪問規則。
另一個常見的安全問題是許可權過度的規則設置。防火牆規則是由三個域構成的:即源(IP地址),目的地(網路/子網路)和服務(應用軟體或者其他目的地)。
為了確保每個用戶都有足夠的埠來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標對象。當你出於業務持續性的需要允許大范圍的IP地址來訪問大型企業的網路,這些規則就會變得許可權過度釋放,因此就會增加不安全因素。
三、根據法規協議和更改需求來校驗每項防火牆的更改。
在防火牆操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期後從防火牆規則中刪除無用的規則。
規則膨脹是防火牆經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則,卻從來不會讓防火牆團隊知道他們不再使用某些服務了。了解退役的伺服器和網路以及應用軟體更新周期對於達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。
五、每年至少對防火牆完整的審核兩次。
如果你是名信用卡活動頻繁的商人,那麼除非必須的話這項不是向你推薦的最佳實踐方法,因為支付卡行業標准1.1.6規定至少每隔半年要對防火牆進行一次審核。
參考資料來源:網路--防火牆