安全的DMZ web服务器设置设备

问:我需要将web服务器放入DMZ中,服务器需要访问放在内网的网络附加存储(NAS)盒中的数据。为了建立一个安全的DMZ web服务器,有没有一些最佳实践?

答:这是个好问题。我们经常碰到这样的问题。一般地,你可能希望将面向网络的系统与支持组件分离开来,放在它们专有的空间(如,从内网中分开)。

将这个最初的想法扩展开来,确保DMZ  Web服务器具有尽可能好的安全级别,考虑将NAS设备放置在其专有的网段上。这样的话,如果Web服务器被破解了,附带的损失也会降到最小。我说的附带损失是指缓解攻击者进入NAS盒和其他网络的风险。这样你也可以设置战略性的阻塞点(choke point)来监测恶意活动。这种部署的例子就是设置一个内联Web应用程序防火墙(WAF)或入侵防御系统(IPS),以保护下游环节(downstream link)(如在DMZ界面的链接)。

从联网的角度来看,我会实施合适的入站(inbound)访问控制列表(ACL),并且尽可能的限制NAS。例如,利用内置防火墙安全限制,可以防止从不信任的界面来的流量(如Internet/DMZ)流向信任的界面(如,内网)。此外,访问面向网络的 DMZ应该限制在合适的应用程序端口(一般的,TCP端口80和TCP端口443)。考虑执行一个严格的outbound ACL以控制从内联网到DMZ的流量。

所有其他传统的服务器加强规则应用,特别是在DMZ swing上。如果你主要是在NAS上处理静态的内容,考虑一些类型的文件整合监测系统。Tripwire公司提供了一个商业产品,AIDE开源工具,你可以在SourceForge中找到。

【编辑推荐】

  1. 搜索结果将黑客带入四层梦境之如何设计安全的四级DMZ
  2. 选用单防火墙DMZ还是双防火墙DMZ

分享名称:安全的DMZ web服务器设置设备
分享路径:http://www.shufengxianlan.com/qtweb/news35/310285.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联