★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

安全的DMZ web服务器设置设备

[复制链接]
发表于 2010-12-1 10:26:15 | 显示全部楼层 |阅读模式
问:我需要将web服务器放入DMZ中,服务器需要访问放在内网的网络附加存储(NAS)盒中的数据。为了建立一个安全的DMZ web服务器,有没有一些最佳实践?
答:这是个好问题。我们经常碰到这样的问题。一般地,你可能希望将面向网络的系统与支持组件分离开来,放在它们专有的空间(如,从内网中分开)。
将这个最初的想法扩展开来,确保DMZ  Web服务器具有尽可能好的安全级别,考虑将NAS设备放置在其专有的网段上。这样的话,如果Web服务器被破解了,附带的损失也会降到最小。我说的附带损失是指缓解攻击者进入NAS盒和其他网络的风险。这样你也可以设置战略性的阻塞点(choke point)来监测恶意活动。这种部署的例子就是设置一个内联Web应用程序防火墙(WAF)或入侵防御系统(IPS),以保护下游环节(downstream link)(如在DMZ界面的链接)。
从联网的角度来看,我会实施合适的入站(inbound)访问控制列表(ACL),并且尽可能的限制NAS。例如,利用内置防火墙安全限制,可以防止从不信任的界面来的流量(如Internet/DMZ)流向信任的界面(如,内网)。此外,访问面向网络的 DMZ应该限制在合适的应用程序端口(一般的,TCP端口80和TCP端口443)。考虑执行一个严格的outbound ACL以控制从内联网到DMZ的流量。
所有其他传统的服务器加强规则应用,特别是在DMZ swing上。如果你主要是在NAS上处理静态的内容,考虑一些类型的文件整合监测系统。Tripwire公司提供了一个商业产品,AIDE开源工具,你可以在SourceForge中找到。
发表于 2010-12-1 10:44:53 | 显示全部楼层
学习下,自己建1个小网站
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-24 03:17 , Processed in 0.120428 second(s), 23 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表