DMZ isa, ferestre pro-l

Protecția rețelei corporative, folosind zona tampon de multe organizații nu profita de zona demilitarizată de rețea, DMZ. In schimb, ei pun serverele lor (de exemplu, Web-servere) pe aceeași rețea internă în cazul în care serverele și stațiile de lucru sunt compania.

Trimite o cerere pentru un material

Protecția rețelei corporative printr-o zonă tampon

Multe organizații nu profita de zona demilitarizată de rețea, DMZ. In schimb, ei pun serverele lor (de exemplu, Web-servere) pe aceeași rețea internă în cazul în care serverele și stațiile de lucru sunt compania. Fără DMZ, care separă serverele publice din rețeaua internă, acesta din urmă este expus la risc suplimentar. În cazul în care atacatorul va fi capabil de a serverul de management bazat pe Web, se poate folosi pentru a ataca importante resurse, cum ar fi aplicații financiare și servere de fișiere. Este locul „când“ și nu este „dacă“. Pentru că, indiferent cât de protejat Web-server, el va fi atacat mai devreme sau mai târziu. Prin urmare, este necesar de a proiecta procesele de rețea și de afaceri, cu scopul de a minimiza daunele cauzate de intruziune, și să asigure recuperarea rapidă a acestora. O astfel de strategie este zonele de lucru de strategie de selecție și de a folosi zona demilitarizată (DMZ).

În formarea DMZ pentru a crea două rețele separate fizic - unul pentru servere publice, altele - pentru servere si statii de lucru interne. În funcție de tipul și numărul de DMZ firewall second-hand se aplica una sau alte politici de rutare pentru fiecare rețea și acces strict controlat între:

  • Internetul și DMZ;
  • Internet și rețeaua internă;
  • DMZ și rețeaua internă.

Principalul avantaj al utilizării în loc de un firewall DMZ simplu este că un atac asupra unui risc server public de a compromite serverele interne scade, deoarece serverele publice și interne sunt separate una de cealaltă. Dacă serverul este compromis în DMZ, atacatorul nu poate ataca direct celelalte, mai multe servere importante situate pe rețeaua internă. Blocurile de firewall toate incercarile de a conecta computere de la DMZ la calculatoarele din rețea internă, cu excepția conexiunilor acest lucru este permis. De exemplu, puteți configura firewall-ul pentru a permite Web-server situat în DMZ, conectat la interiorul unui sistem cu Microsoft SQL prin intermediul TCP-port de construcții. În cazul în care un atacator să preia Web-server, acesta va fi capabil să organizeze un atac asupra sistemului SQL Server prin acest port. Cu toate acestea, atacatorul nu poate ataca alte porturi de serviciu și de sistem cu SQL Server, precum și alte computere din rețeaua internă.

Aplicarea DMZ oferă unele mai multe avantaje.

Figura 1. DMZ cu trei interfețe

DMZ pe bază de ISA Server cu interfață triplă

Pentru a permite utilizatorilor de acces la Internet la serverele localizate în DMZ, va trebui să creeze un filtru de pachete, care va deschide porturile corespunzătoare pentru fiecare dintre serverele DMZ. De exemplu, în cazul în care există un web-server și Gateway SMTP în DMZ, va trebui să creați un filtru care se deschide TCP-portul 80 de pe web-server (sau TCP-portul 443 dacă utilizați Secure HTTP, HTTPS). Apoi, aveți nevoie pentru a crea două filtre care sunt permise pentru a seta conexiunile de intrare la TCP-portul 25 și conexiuni de ieșire pe TCP-portul 25 pe SMTP-Gateway.

A se evita riscurile asociate cu utilizarea SQL Server, este mult mai dificil decât să-l facă de schimb, pentru că ISA Server nu conține un filtru aplicat SQL Server. Cu toate acestea, este posibil să se blocheze hacking SQL Server. De exemplu, trebuie să utilizați un bun parole puternice și de a rezolva SQL Server instalate cu capabilități de control neautorizate ale sistemului, chiar dacă accesul la SQL Server este permisă numai de încredere Web-server. Trebuie să vă asigurați că aplicațiile bazate pe web menține cont secret și parola atunci când vă conectați la un SQL Server, cu alte cuvinte, nu vă permit să specificați numele și parola de acces la SQL Server în codul aplicației. Este important să se asigure că drepturile contului utilizat pentru a accesa SQL Server, sunt limitate la minimul necesar. aplicatii bazate pe web pentru a se conecta la SQL Server nu trebuie să utilizeze un cont de administrator de sistem (SA). În schimb, creați un cont pentru aplicații bazate pe web cu drepturi limitate.

În cele din urmă, pentru a decide dacă să utilizeze un protocol securizat HTTP (HTTPS) pentru a proteja zonele de pe web-site. Organizarea utilizarea HTTPS în DMZ cu trei interfețe nu este dificil, deoarece ISA Server pur și simplu rute pachete între Internet și DMZ. HTTPS utilizați în acest tip de DMZ va necesita un certificat de server pentru a fi obținut în centrul certificatelor publice autoritate de certificare (CA) și a instala pe web-server DMZ.

DMZ tip intermediar

Utilizarea HTTPS pentru a proteja zonele importante ale Web-ului în DMZ tip intermediar este diferită de utilizarea HTTPS în DMZ cu trei interfețe de rețea. În loc de a instala un server de pe certificatul de web-server de la o autoritate de certificare publică (CA), trebuie să instalați certificatul pe ISA Server. Prin urmare, atunci când un client al Internetului are acces la zona securizată a site-ului web, client Internet Explorer stabilește o conexiune sigură SSL (Secure Sockets Layer) între computerul client și ISA Server. ISA Server, la rândul său, transmite cererea de pe web-server DMZ.

Puteți fie să configurați ISA Server pentru a redirecționa solicitările în format text HTTP obișnuit, sau HTTPS-a stabili o nouă conexiune Web-server. În cazul în care Web-serverul este singurul server din DMZ, am recomandăm utilizarea HTTP pentru a salva resursele computerului. Probabilitatea ca cineva va intercepta conexiunea este scăzută, deoarece web-server este într-o rețea securizată DMZ. În cazul în care web-server - nu singurul server din DMZ, va trebui să instalați noul HTTPS-conexiune. Este important să ne amintim că procesul de criptare reduce performanța atât ISA Server, de Web-servere. O altă posibilitate de a izola traficul între serverul ISA și server bazat pe web este de a utiliza Virtual switch de rețea virtuală LAN (VLAN) în rețeaua de DMZ.

Proteja rețeaua!

Instalarea și utilizarea ISA Server ca un ecran de protecție

Microsoft Internet Security and Acceleration Server (ISA) acționează ca un ecran protector de întreprindere și cache bazate pe Web. ISA Server poate fi instalat în trei moduri diferite: fie ca server cache (proxy-server) sau ca un firewall sau modul integrat (acest mod oferă atât funcția de cache și funcția de protecție a ecranului). Din moment ce sunt utilizați ISA Server ca firewall-ul, va trebui să selectați un mod firewall sau integrat. Cu ISA Server, puteți monitoriza procesele de acces intern client de rețea la resursele Internet.

Partajați imagini cu prietenii și colegii