Backup
在 DMZ 上備份伺服器
我們有一個在 2008 R2、DMZ 上的非域伺服器上執行的帶有大量媒體文件的靜態 Web 應用程序。我需要備份伺服器上的媒體文件。受信任網路上伺服器的目前備份機制是 BackupExec 代理。
備份 DMZ 伺服器的最佳做法是什麼?將 BackupExec 客戶端推送給它,並讓它通過防火牆連接回受信任網路上的 BE 伺服器,我真的覺得不舒服。
使用 RSync over SSH 或其他適當且安全的文件傳輸方法,將文件從生產 DMZ 機器獲取到您的內部網路。然備份份它。
根據您的安全立場,您需要確定是否可以打開埠以進行雙向傳輸。如果只有一個,您的安全立場將決定哪個方向。DMZ 機器(您的生產網站)啟動這些文件並將其推送到您的內部網路是否更安全?或者,您的內部網路從 DMZ 機器啟動和提取文件會更安全嗎?
無論哪種方式,正在使用的帳戶都應該具有執行傳輸所需的最低權限,這樣如果帳戶被盜用,除了刪除文件並可能填滿磁碟之外,它不會造成更大的損害。
-話雖如此,這與允許 BE 協議和數據無論如何移動這些數據有什麼不同?