安全的DMZ web服务器设置设备

安全 应用安全
我需要将web服务器放入DMZ中,服务器需要访问放在内网的网络附加存储(NAS)盒中的数据。为了建立一个安全的DMZ web服务器,有没有一些最佳实践?

问:我需要将web服务器放入DMZ中,服务器需要访问放在内网的网络附加存储(NAS)盒中的数据。为了建立一个安全的DMZ web服务器,有没有一些最佳实践?

答:这是个好问题。我们经常碰到这样的问题。一般地,你可能希望将面向网络的系统与支持组件分离开来,放在它们专有的空间(如,从内网中分开)。

将这个最初的想法扩展开来,确保DMZ  Web服务器具有尽可能好的安全级别,考虑将NAS设备放置在其专有的网段上。这样的话,如果Web服务器被破解了,附带的损失也会降到最小。我说的附带损失是指缓解攻击者进入NAS盒和其他网络的风险。这样你也可以设置战略性的阻塞点(choke point)来监测恶意活动。这种部署的例子就是设置一个内联Web应用程序防火墙(WAF)或入侵防御系统(IPS),以保护下游环节(downstream link)(如在DMZ界面的链接)。

从联网的角度来看,我会实施合适的入站(inbound)访问控制列表(ACL),并且尽可能的限制NAS。例如,利用内置防火墙安全限制,可以防止从不信任的界面来的流量(如Internet/DMZ)流向信任的界面(如,内网)。此外,访问面向网络的 DMZ应该限制在合适的应用程序端口(一般的,TCP端口80和TCP端口443)。考虑执行一个严格的outbound ACL以控制从内联网到DMZ的流量。

所有其他传统的服务器加强规则应用,特别是在DMZ swing上。如果你主要是在NAS上处理静态的内容,考虑一些类型的文件整合监测系统。Tripwire公司提供了一个商业产品,AIDE开源工具,你可以在SourceForge中找到。

【编辑推荐】

  1. 搜索结果将黑客带入四层梦境之如何设计安全的四级DMZ
  2. 选用单防火墙DMZ还是双防火墙DMZ
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2010-05-31 16:15:02

Windows Ser安全设置

2009-12-24 16:15:17

2011-03-23 13:59:43

2011-02-21 13:43:23

Server 2003Web服务器

2018-11-30 10:34:24

2009-09-18 13:00:20

2018-08-07 08:54:18

2010-01-12 12:04:28

2009-12-04 10:27:03

2010-10-09 10:05:04

2011-08-09 09:37:49

2011-09-09 09:35:28

2021-05-18 10:50:48

Linux服务器安全设置

2013-06-21 14:20:00

IISWeb服务器

2011-03-25 12:45:29

2009-01-08 19:06:00

服务器安全Web服务器

2011-03-25 12:55:43

2010-03-12 10:48:03

2017-01-19 10:54:56

2011-03-17 13:38:37

点赞
收藏

51CTO技术栈公众号