问:我需要将web服务器放入DMZ中,服务器需要访问放在内网的网络附加存储(NAS)盒中的数据。为了建立一个安全的DMZ web服务器,有没有一些最佳实践?
答:这是个好问题。我们经常碰到这样的问题。一般地,你可能希望将面向网络的系统与支持组件分离开来,放在它们专有的空间(如,从内网中分开)。
将这个最初的想法扩展开来,确保DMZ Web服务器具有尽可能好的安全级别,考虑将NAS设备放置在其专有的网段上。这样的话,如果Web服务器被破解了,附带的损失也会降到最小。我说的附带损失是指缓解攻击者进入NAS盒和其他网络的风险。这样你也可以设置战略性的阻塞点(choke point)来监测恶意活动。这种部署的例子就是设置一个内联Web应用程序防火墙(WAF)或入侵防御系统(IPS),以保护下游环节(downstream link)(如在DMZ界面的链接)。
从联网的角度来看,我会实施合适的入站(inbound)访问控制列表(ACL),并且尽可能的限制NAS。例如,利用内置防火墙安全限制,可以防止从不信任的界面来的流量(如Internet/DMZ)流向信任的界面(如,内网)。此外,访问面向网络的 DMZ应该限制在合适的应用程序端口(一般的,TCP端口80和TCP端口443)。考虑执行一个严格的outbound ACL以控制从内联网到DMZ的流量。
所有其他传统的服务器加强规则应用,特别是在DMZ swing上。如果你主要是在NAS上处理静态的内容,考虑一些类型的文件整合监测系统。Tripwire公司提供了一个商业产品,AIDE开源工具,你可以在SourceForge中找到。
【编辑推荐】