Servidores Web e zonas de firewall

Web e FTP Servidores

Cada rede que tenha uma conexão de internet está em risco de ser comprometido. Enquanto há várias etapas que você pode tomar para proteger sua LAN, a única solução real é fechar sua LAN para o tráfego de entrada e restringir o tráfego de saída.

No entanto, alguns serviços como web ou servidores FTP exigem conexões de entrada. Se você precisar desses serviços que você terá de considerar se é essencial que esses servidores fazem parte da LAN, ou se eles podem ser colocados em uma rede fisicamente separada conhecida como DMZ (zona desmilitarizada ou se preferir seu próprio nome). Idealmente todos os servidores da DMZ será autônomo servidores, com logins e senhas exclusivos para cada servidor. Se você precisar de um servidor de backup para máquinas dentro da DMZ, então você deve adquirir uma máquina dedicada e manter a solução de backup separado a partir da solução de backup LAN.

A DMZ virá diretamente da firewall, o que significa que existem duas rotas dentro e fora da DMZ, o tráfego de e para a internet e tráfego de e para a LAN. O tráfego entre o DMZ e LAN seria tratado separadamente totalmente para o tráfego entre o seu DMZ e da Internet. O tráfego de entrada da Internet seria encaminhado diretamente para o seu DMZ.
Portanto, se qualquer hacker onde a comprometer uma máquina dentro da DMZ, então a rede só eles teriam acesso a seria a DMZ. O hacker teria pouco ou nenhum acesso à LAN. Além disso, seria o caso de qualquer infecção por vírus ou outro comprometimento da segurança dentro da LAN não seria capaz de migrar para o DMZ.

Para que o DMZ para ser eficaz, você terá que manter o tráfego entre a LAN ea DMZ a um mínimo. Na maioria dos casos, o único tráfego necessária entre a LAN ea DMZ é FTP. Se você não tem acesso físico aos servidores, você também vai precisar de algum tipo de protocolo de gerenciamento remoto, como serviços de terminal ou VNC.

Servidores de banco de dados

Se seus servidores web requerem acesso a um servidor de banco de dados, então você terá de considerar onde colocar o seu banco de dados. O lugar mais seguro para localizar um servidor de banco de dados é criar ainda mais uma rede fisicamente separado, chamado de zona segura, e para colocar o servidor de banco de dados lá.
A zona de seguro é também uma rede separada fisicamente conectado diretamente ao firewall. A zona de seguro é, por definição, o lugar mais seguro na rede. O único acesso para ou a partir da zona de segurança seria a conexão do banco de dados da DMZ (e LAN se necessário).

Excepções à regra

O dilema enfrentado por engenheiros de rede é onde colocar o servidor de e-mail. Ele requer conexão SMTP para a internet, ainda que também exige o acesso de domínio da LAN. Se você onde colocar esse servidor na DMZ, o tráfego de domínio poderia comprometer a integridade da DMZ, tornando-se simplesmente uma extensão da LAN. Portanto, em nossa opinião, o único lugar onde você pode colocar um servidor de e-mail está na LAN e permitir o tráfego SMTP para este servidor. No entanto, recomendamos contra permitir que qualquer forma de acesso HTTP para este servidor. Se os usuários necessitam de acesso ao seu e-mail de fora da rede, seria muito mais seguro de olhar para alguma forma de solução de VPN. (Com o firewall lidar com as conexões VPN. Servidores LAN VPN com base em permitir o tráfego VPN para a rede antes de ser autenticado, o que nunca é uma coisa boa.)...