DMZ ISA, прозорци него реше

Защита на корпоративната мрежа, като се използват буфер площ Много организации не се възползва от демилитаризираната зона на мрежата, DMZ. Вместо това, те поставят своите сървъри (например уеб сървъри) на една и съща вътрешната мрежа, където сървъри и работни станции са от компанията.

Изпрати заявка за материал

Защита на корпоративната мрежа чрез площ буфер

Много организации не се възползват от демилитаризираната зона на мрежата, DMZ. Вместо това, те поставят своите сървъри (например уеб сървъри) на една и съща вътрешната мрежа, където сървъри и работни станции са от компанията. Без демилитаризираната зона, разделяща обществени сървъри от вътрешната мрежа, то последната се излагат на допълнителен риск. Когато атакуващият ще бъде в състояние да се уеб-базиран сървър за управление, може да го използвате, за да атакува важни ресурси, като например финансови приложения и файлови сървъри. Той на "кога", а не е "ако". Защото без значение колко е защитена уеб-сървър, рано или късно той ще бъде атакуван. Поради това е необходимо да се изработи процесите на мрежови и бизнес с цел свеждане до минимум на щетите, причинени от проникване, и да се осигури бързото им възстановяване. Една такава стратегия е работни зони стратегически избор и използване на демилитаризирана зона (DMZ).

При образуването демилитаризираната зона, за да се създадат две физически разделени мрежи - по един за обществени сървъри, а другият - за вътрешни сървъри и работни станции. В зависимост от вида и броя на използваните DMZ защитна стена се прилага една или друга навигация политики за всяка мрежа и строго контролиран достъп между:

  • Интернет и демилитаризираната зона;
  • Интернет и вътрешната мрежа;
  • DMZ и вътрешната мрежа.

Основното предимство на използването вместо просто DMZ защитна стена е, че една атака риск публичен сървър на компромис вътрешните сървъри намалява, тъй като общите и вътрешните сървъри са разделени един от друг. Ако компрометиран сървър е в демилитаризираната зона, нападателят не може директно да атакува други, по-важни сървъри, разположени на вътрешната мрежа. Защитната стена блокира всички опити за свързване на компютри от демилитаризираната зона на компютрите в мрежата на вътрешните, освен ако изрично е разрешено връзки. Например, можете да конфигурирате защитната стена, за да се даде възможност на уеб-сървър, намиращ се в демилитаризираната зона, свързан с вътрешността на система с Microsoft SQL чрез специален TCP-порт. Ако на някой хакер да поеме уеб-сървър, той ще бъде в състояние да организира нападение срещу системата на SQL Server през този порт. Въпреки това, нападателят не може да атакува други услуги и системни порта с SQL Server, както и други компютри в вътрешната мрежа.

Заявление DMZ дава още няколко предимства.

Фигура 1. DMZ с три интерфейси

DMZ базирани ISA Server с троен интерфейс

За да позволите на потребители от достъп до Интернет на сървъри, намиращи се в демилитаризираната зона, ще трябва да се създаде пакет филтър, който ще се отвори съответните портове на всеки от сървърите демилитаризираната зона. Например, ако има уеб-сървър и SMTP Gateway в демилитаризираната зона, ще трябва да създадете филтър, който се отваря на TCP-порт 80 на Web-сървър (или TCP-порт 443, ако използвате HTTP Secure, HTTPS). След това е необходимо да се създадат две филтри, които могат да определят входящи връзки към TCP порт 25 и изходящи връзки на TCP порт 25 на SMTP-шлюз.

Избягвайте рисковете, свързани с използването на SQL Server, е по-трудно, отколкото да го направи чрез размяна, защото ISA Server не съдържа филтър се прилага за SQL Server. Въпреки това е възможно да се попречи на хакери SQL Server. Например, трябва да използвате добър силни пароли и решаване на SQL Server инсталирани с неразрешени възможности за контрол на системата, дори ако достъпът до SQL Server е разрешено само доверени уеб-сървър. Трябва да се уверите, че уеб-базирани приложения поддържат тайна акаунт и парола при свързване с SQL Server, с други думи, не позволи да посочите име и парола за достъп до SQL Server в кода на приложението. Важно е да се гарантира, че правата на сметката използва за достъп до SQL Server, са ограничени до необходимия минимум. Уеб-базирани приложения, за да се свърже с SQL Server не трябва да използвате системен администратор сметка (SA). Вместо това, да създадете акаунт за уеб-базирани приложения с ограничени права.

Накрая, за да се реши дали да се използва защитен протокол HTTP (HTTPS), за да защитават райони на уеб-сайта. Организирайте използването на HTTPS в демилитаризираната зона с три интерфейси, не е трудно, тъй като ISA сървър, като просто маршрути пакети между Интернет и демилитаризираната зона. HTTPS използват в този вид DMZ ще изисква сертификат на сървъра трябва да се получи в центъра на публични сертификати Certificate Authority (Калифорния) и инсталиране на уеб-сървър демилитаризираната зона.

DMZ междинен вид

Използване на HTTPS за защита на важни области на уеб-сайтове в DMZ междинен вид е различен от използването на HTTPS в демилитаризираната зона с три мрежови интерфейси. Вместо да инсталирате на сървъра в свидетелството за уеб-сървър от орган на публична сертифициране (Калифорния), трябва да инсталирате сертификата на ISA Server. Съответно, когато клиент на интернет има достъп до защитената област на уеб-сайта, Internet Explorer клиент създава защитен с SSL връзка (Secure Sockets Layer) между клиентския компютър и ISA Server. ISA Server, от своя страна, препраща искането на уеб-сървър демилитаризираната зона.

Можете да настроите ISA Server за пренасочване на заявките в текстов формат обичайната HTTP, HTTPS или установи нова връзка към уеб-сървър. Ако уеб-сървър е единствената сървъра в демилитаризираната зона, аз препоръчвам да се използва HTTP, за да запазите компютърни ресурси. Вероятността, че някой ще се намеси във връзката е ниска, тъй като уеб-сървър е на сигурно DMZ мрежа. Ако уеб-сървър - не само сървъра в демилитаризираната зона, може да се наложи да инсталирате новата HTTPS-връзката. Важно е да се помни, че процесът на кодиране намалява ефективността както на ISA Server, както и на уеб сървъри. Друга възможност за изолиране на трафик между ISA Server, и уеб-базиран сървър е да се използва виртуална LAN (VLAN) ключа виртуална мрежа в мрежата DMZ.

Защитете мрежата!

Инсталиране и използване на ISA Server като екран

Microsoft Internet Security и Acceleration (ISA) сървър действа като защитен екран от предприятието и уеб-базиран кеш. ISA Server може да бъде инсталиран в три различни режима: или като кеш сървър (прокси-сървър), или като защитна стена или интегралната режим (този режим предвижда както кеширане функция и функцията за защита на екрана). Тъй като ние сме с помощта ISA Server като вашата защитна стена, ще трябва да изберете режим на защитната стена или Интегрирана. С ISA Server, можете да следите процесите на вътрешния достъп до мрежата клиент на интернет ресурси.

Сподели снимки с приятели и колеги