千年殇,玄幻小说改编的电视剧

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安全的DMZ web服務(wù)器設(shè)置設(shè)備

問：我需要將web服務(wù)器放入DMZ中，服務(wù)器需要訪問放在內(nèi)網(wǎng)的網(wǎng)絡(luò)附加存儲（NAS）盒中的數(shù)據(jù)。為了建立一個安全的DMZ web服務(wù)器，有沒有一些最佳實踐？

答：這是個好問題。我們經(jīng)常碰到這樣的問題。一般地，你可能希望將面向網(wǎng)絡(luò)的系統(tǒng)與支持組件分離開來，放在它們專有的空間（如，從內(nèi)網(wǎng)中分開）。

將這個最初的想法擴(kuò)展開來，確保DMZ Web服務(wù)器具有盡可能好的安全級別，考慮將NAS設(shè)備放置在其專有的網(wǎng)段上。這樣的話，如果Web服務(wù)器被破解了，附帶的損失也會降到最小。我說的附帶損失是指緩解攻擊者進(jìn)入NAS盒和其他網(wǎng)絡(luò)的風(fēng)險。這樣你也可以設(shè)置戰(zhàn)略性的阻塞點（choke point）來監(jiān)測惡意活動。這種部署的例子就是設(shè)置一個內(nèi)聯(lián)Web應(yīng)用程序防火墻（WAF）或入侵防御系統(tǒng)（IPS），以保護(hù)下游環(huán)節(jié)（downstream link）（如在DMZ界面的鏈接）。

從聯(lián)網(wǎng)的角度來看，我會實施合適的入站（inbound）訪問控制列表（ACL），并且盡可能的限制NAS。例如，利用內(nèi)置防火墻安全限制，可以防止從不信任的界面來的流量（如Internet/DMZ）流向信任的界面（如，內(nèi)網(wǎng)）。此外，訪問面向網(wǎng)絡(luò)的 DMZ應(yīng)該限制在合適的應(yīng)用程序端口（一般的，TCP端口80和TCP端口443）?？紤]執(zhí)行一個嚴(yán)格的outbound ACL以控制從內(nèi)聯(lián)網(wǎng)到DMZ的流量。

所有其他傳統(tǒng)的服務(wù)器加強(qiáng)規(guī)則應(yīng)用，特別是在DMZ swing上。如果你主要是在NAS上處理靜態(tài)的內(nèi)容，考慮一些類型的文件整合監(jiān)測系統(tǒng)。Tripwire公司提供了一個商業(yè)產(chǎn)品，AIDE開源工具，你可以在SourceForge中找到。

【編輯推薦】

搜索結(jié)果將黑客帶入四層夢境之如何設(shè)計安全的四級DMZ
選用單防火墻DMZ還是雙防火墻DMZ

本文名稱：安全的DMZ web服務(wù)器設(shè)置設(shè)備
網(wǎng)站網(wǎng)址：http://fisionsoft.com.cn/article/dpspced.html

新聞中心

其他資訊