查看: 348|回复: 18

[求助] 问题请教:请大师给予解决方案,谢谢啦

[复制链接]

主题

好友

23

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2016-11-24 09:44 |显示全部楼层
TG-NET
Anywlan微信公众号
背景:局域网向外只开放80端口,其他端口因策略都被禁掉。
一、如果数据库mssql放在公网这台电脑(IP为201.215.92.56)上,则:
1)因局域网向外只开放80端口,局域网内的电脑可以访问外部所有网站,但无法通过客户端C/S软件,连接访问公网电脑(IP为201.215.92.56)的mssql数据库。
2)公网中的其他所有电脑都可以通过C/S软件连接访问公网电脑(IP为201.215.92.56)的mssql数据库。
二、如果数据库mssql放在局域网这台电脑(IP为10.115.238.39)上,则:
1)局域网内的所有电脑访问局域网这台电脑(IP为10.115.238.39)的数据库mssql没问题。
2)但公网中的其他电脑无法通过C/S软件连接访问这台电脑(IP为10.115.238.39)的mssql数据库。
我的需求:如何让公网和局域网所有电脑都可以访问该mssql数据库,这个mssql数据库放在哪台电脑上比较合适?增加一个路由器或花生壳可以解决问题吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x

主题

好友

1460

积分

上尉

签到天数: 163 天

[LV.7]常住居民III

发表于 2016-11-24 14:24 |显示全部楼层
本帖最后由 yunnanyaic 于 2016-11-24 14:40 编辑

个人经验之谈,望对楼主有点帮助!
准备工作:
1、增加一台Juniper硬件防火墙+路由器(普通型号即可,一般2500~3500元左右的,企业已经用固定IP专线,应该不会为投入硬件防火墙+路由器而纠结吧);
2、堡垒主机上安装免费版TeamView进行远程管理(可选,如果要用手机远程管理的话)。
实现方法:
1、将公网固定IP配置到Juniper的WAN口,先开通全网段内、外网所有协议的访问;
2、硬件防火墙上配置企业内网网段为安全区,其他网段为非安全区,然后设置策略:A允许安全区网段访问非安全区网段的所有端口和协议(在此若要做带宽限制和访问控制请自定义就行);B允许非安全区网段访问安全区网段中的自定义端口和协议;
3、建议MySQL数据库安装在单独的内网服务器网段(手动配置服务器IP,便于管理识别),企业用户则在另一网段中(防火墙非安全区定义中启用DHCP自动分配IP),通过硬件防火墙策略控制以便提高服务器网段的安全性,即:安全区内网服务器网段和企业用户网段可以双向互访,或者更严格的访问服务器策略;
4、硬件防火墙开通DMZ端口,访问权限配置给你的堡垒主机用于远程管理,当然也可不开通DMZ,只配置策略:允许非安全区网段访问堡垒主机上TeamView对应的端口、协议;
5、外网访问MySQL数据库无非就是多加条策略,即:允许非安全区网段访问MySQL数据库内网安全区网断的端口和协议。
最后记得定期审计防火墙的安全日志

补充:
1台Juniper硬件防火墙+路由器,1~2个WAN口,4~6个LAN口;
1WAN固定IP,另1口备用,1LAN配置DMZ或直接接堡垒主机,1LAN接内网服务器网管交换机,1LAN接内网企业用户网管交换机
2台24口或48口可网管交换机;
1台接内网服务器,1台接内网企业用户,不够再加
回复

使用道具 举报

主题

好友

91

积分

上等兵

签到天数: 4 天

[LV.2]偶尔看看I

发表于 2016-11-24 09:57 |显示全部楼层
看着就头疼~~~
回复

使用道具 举报

主题

好友

2330

积分

少校

签到天数: 234 天

[LV.7]常住居民III

发表于 2016-11-24 10:32 |显示全部楼层
稍微有点混乱,有几个问题
1,局域网接入公网了,无疑,毕竟内网可以访问外网。
2,201.215.92.56   这台电脑   和  其他电脑  在网络拓扑中分别处于什么位置
3,只有一个公网IP 的情况下,访问服务器IP必须带有端口(假设NAT转换)
回复

使用道具 举报

主题

好友

583

积分

中尉

签到天数: 18 天

[LV.4]偶尔看看III

发表于 2016-11-24 10:46 |显示全部楼层
看来楼主是想在内网架设数据库服务器,还想在外网也能使用,这个时候你需要有公网的固定IP(最好是固定IP)然后在防火墙上映射内网数据库服务器的IP和端口
回复

使用道具 举报

主题

好友

3134

积分

少校

签到天数: 274 天

[LV.8]以坛为家I

发表于 2016-11-24 10:54 |显示全部楼层
数据库放在公网电脑上,再安装一块网卡,联接内网通信。
成本:增加一块1000M网卡,100左右
回复

使用道具 举报

主题

好友

23

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2016-11-24 11:18 |显示全部楼层
yjnchina 发表于 2016-11-24 10:54
数据库放在公网电脑上,再安装一块网卡,联接内网通信。
成本:增加一块1000M网卡,100左右

双网卡这个方案之前考虑了不采用,不太安全。
回复

使用道具 举报

主题

好友

23

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2016-11-24 11:20 |显示全部楼层
程子 发表于 2016-11-24 10:46
看来楼主是想在内网架设数据库服务器,还想在外网也能使用,这个时候你需要有公网的固定IP(最好是固定IP) ...

理解没错。
请问是在公网的IP为201.215.92.56网口接一个路由器,然后在路由器上映射内网的10.115.238.39的IP和sql端口?
回复

使用道具 举报

主题

好友

23

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2016-11-24 11:22 |显示全部楼层
s1711880582 发表于 2016-11-24 10:32
稍微有点混乱,有几个问题
1,局域网接入公网了,无疑,毕竟内网可以访问外网。
2,201.215.92.56   这台 ...

1.理解了就不谈
2.201.215.92.56   这台电脑   和  其他电脑  在网络拓扑中 没有任何关系,就当做是互联网海洋中的一个固定IP
3.这个公网IP201.215.92.56,可以当做一台服务器
回复

使用道具 举报

主题

好友

3134

积分

少校

签到天数: 274 天

[LV.8]以坛为家I

发表于 2016-11-24 11:32 |显示全部楼层
本帖最后由 yjnchina 于 2016-11-24 11:33 编辑
wallyhost 发表于 2016-11-24 11:18
双网卡这个方案之前考虑了不采用,不太安全。

试试端口映射。也可以改公网端口。
回复

使用道具 举报

主题

好友

1895

积分

上尉

签到天数: 42 天

[LV.5]常住居民I

发表于 2016-11-24 11:52 |显示全部楼层
确认下数据库端口1433是通过80端口转发么,不是的话,你应该还要开放1433端口
回复

使用道具 举报

主题

好友

379

积分

少尉

该用户从未签到

发表于 2016-11-24 12:11 手机上Anywlan 随时随地无线:http://m.Anywlan.com |显示全部楼层
如果使用dhcp,必须给mysql服务器一个固定ip,且dhcp不会占用这个ip,如果固定ip,一个个分就行。再映射外网。
回复

使用道具 举报

主题

好友

202

积分

少尉

签到天数: 4 天

[LV.2]偶尔看看I

发表于 2016-11-24 12:14 |显示全部楼层
本帖最后由 computergood 于 2016-11-24 12:16 编辑

端口映射应该可以吧
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2016-12-11 02:33

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表