Веб- и FTP-серверы
Любая сеть, имеющая подключение к Интернету, подвержена риску взлома. Хотя есть несколько шагов, которые вы можете предпринять для защиты вашей локальной сети, единственное реальное решение — закрыть вашу локальную сеть для входящего трафика и ограничить исходящий трафик.
Однако некоторые службы, такие как веб-серверы или FTP-серверы, требуют входящих соединений. Если вам требуются эти услуги, вам нужно будет подумать, важно ли, чтобы эти серверы были частью локальной сети, или их можно разместить в физически отдельной сети, известной как демилитаризованная зона (или демилитаризованная зона, если вы предпочитаете ее собственное название). В идеале все серверы в демилитаризованной зоне должны быть автономными серверами с уникальными логинами и паролями для каждого сервера. Если вам требуется сервер резервного копирования для компьютеров в демилитаризованной зоне, вам следует приобрести выделенную машину и хранить решение резервного копирования отдельно от решения резервного копирования в локальной сети.
DMZ будет выходить непосредственно из брандмауэра, а это означает, что существует два маршрута в и из DMZ: трафик в Интернет и из Интернета, а также трафик в локальную сеть и из локальной сети. Трафик между DMZ и вашей локальной сетью будет рассматриваться отдельно от трафика между вашей DMZ и Интернетом. Входящий трафик из Интернета будет направляться непосредственно в вашу демилитаризованную зону.
Поэтому, если какой-либо хакер попытается скомпрометировать машину в демилитаризованной зоне, то единственной сетью, к которой у него будет доступ, будет демилитаризованная зона. Хакер будет иметь ограниченный доступ к локальной сети или вообще не иметь его. Также может случиться так, что любое вирусное заражение или другой риск нарушения безопасности в локальной сети не сможет перейти в демилитаризованную зону.
Чтобы DMZ была эффективной, вам необходимо свести к минимуму трафик между локальной сетью и DMZ. В большинстве случаев единственный трафик, необходимый между локальной сетью и DMZ, — это FTP. Если у вас нет физического доступа к серверам, вам также понадобится какой-либо протокол удаленного управления, например службы терминалов или VNC.
Серверы баз данных
Если вашим веб-серверам требуется доступ к серверу базы данных, вам нужно будет подумать, где разместить вашу базу данных. Наиболее безопасное место для размещения сервера базы данных — это создать еще одну физически отдельную сеть, называемую безопасной зоной, и разместить там сервер базы данных.
Зона безопасности также представляет собой физически отдельную сеть, подключенную непосредственно к брандмауэру. Безопасная зона по определению является самым безопасным местом в сети. Единственным доступом к безопасной зоне или из нее будет подключение к базе данных из DMZ (и локальной сети, если потребуется).
Исключения из правил
Дилемма, с которой сталкиваются сетевые инженеры, заключается в том, где разместить сервер электронной почты. Для этого требуется SMTP-соединение с Интернетом, но также требуется доступ к домену из локальной сети. Если вы поместите этот сервер в DMZ, трафик домена поставит под угрозу целостность DMZ, сделав его просто расширением локальной сети. Поэтому, по нашему мнению, единственное место, где вы можете разместить сервер электронной почты, — это локальная сеть и разрешить SMTP-трафик на этот сервер. Однако мы бы не рекомендовали разрешать любую форму HTTP-доступа к этому серверу. Если вашим пользователям требуется доступ к своей почте извне сети, было бы гораздо безопаснее рассмотреть какое-либо решение VPN. (с брандмауэром, обрабатывающим VPN-соединения. VPN-серверы на базе локальной сети пропускают VPN-трафик в сеть до его аутентификации, что никогда не бывает хорошо.)
-
Светлая Сторона Ноутбуков
19 Dec, 24 -
Технология В Жк-Мониторе
19 Dec, 24
