保护 Web 服务器，但允许开发人员访问

Question

我们在 DMZ 中有一个 Web 服务器，它可以通过内部防火墙开放访问 Internet（当然）和 RDP 访问我们的内部网络。 我们的 Web 开发人员（使用包括 Visual Studio 在内的许多不同工具）需要能够将内容更改和新项目“发布”到 Web 服务器上的特定文件夹。此功能需要将驱动器映射到您要发布到的服务器。

问题是，我们的网络团队拒绝在内部开放 NTFS 对服务器的访问。我有点同意他们的观点——没有办法通过端口号来限制 NTFS 访问。它根本不作为我所知道的选项存在。

所以我们的问题变成了 - 其他公司必须有这样的需求来保护从内部网络进出 Web 服务器的流量。如何在不完全打开 Web 服务器的情况下允许映射驱动器到 DMZ 中的 Web 服务器？

谢谢

Answer 1

CIFS 通常在以下几个端口之一上运行：TCP 445、137、139； UDP 137, 138。您的防火墙团队应该能够将这些特定端口的漏洞插入到应该有权更新实时网络服务器的特定内部主机。

如果它是一个“真正的”DMZ，在主机两侧都有单独的防火墙，那么修改防火墙和 Web 服务器的主机防火墙以允许访问应该很容易。如果 DMZ 被单个防火墙“伪造”了一点，仍然可以允许仅来自防火墙和服务器主机防火墙上的内部主机的访问，但我可以理解对单个防火墙如此信任的沉默.