Asigurarea securității perimetrului rețelei
Toate nivelurile de protecție stabilite până acum sunt create pe serverul însuși, iar acest lucru nu este suficient pentru o securitate globală. Când serverul web devine public pe Internet, rețeaua își va juca rolul în protejarea site-ului web și a resurselor IT.
Un nivel extern de securitate a site-ului este un perimetru de rețea securizat. Dacă ISP oferă capacitatea de a găzdui serverul, limitele externe ale perimetrului de rețea se vor extinde la volumul serviciilor de găzduire furnizate de furnizor. Dacă preferați să găzduiți un site în propria organizație, perimetrul rețelei va fi mult mai îngust. În orice caz, protecția site-ului începe de la perimetrul rețelei și trebuie să vă asigurați că nu există elemente în perimetru care să dăuneze site-ului sau să provoace probleme în alt sistem.
Filtrarea cu firewall-uri și routere
Dispozitivele de securitate perimetrice sunt numite firewall-uri. Firewall-urile împiedică intranetul organizației de scanare, oferă o acțiune de interzicere a colectării de date cu privire la rețea, ignorând greutate pachete fluxuri trimise în atacuri Denial of Service, și altele interzic, de asemenea, măsurile utilizate de un hacker pentru a penetra rețeaua internă. Regulile de blocare și de filtrare sunt determinate de politica de securitate a organizației.
Consiliul. Mai sus sa spus despre utilizarea firewall-urilor pentru a proteja rețeaua internă de atacurile de pe Internet. Aceste dispozitive sunt, de asemenea, utilizate pentru a proteja resursele de atacurile asupra rețelei interne. Firewall-urile separă și protejează un segment al rețelei de celălalt, indiferent de tipul rețelei (generale sau private) și sistemele disponibile în segmente.
Această configurație crește performanța medie a rețelei. Figura arată configurația rețelei care funcționează astfel.
Este mai sigur și mai ușor în acest caz să configurați paravanul de protecție pentru a bloca toate porturile și pentru a scana toate pachetele. După aceasta, puteți deschide selectiv porturile pentru serviciile de care aveți nevoie. Pentru a face serverul web accesibil pentru a lucra pe Internet, este suficient să deschideți numai porturile 80 (http protocol) și 443 (protocolul https-SSL).
Utilizarea zonei de rețea perimetrală
Din nefericire, dacă porturile sunt deschise prin perimetrul protejat de un firewall, securitatea perimetrului va fi slabă. Acest lucru este în continuare mai bun decât lipsa unui firewall, dar această metodă de protecție nu este optimă. Dacă furnizorul de servicii Internet furnizează această capacitate și dacă resursele sunt disponibile, pentru un nivel maxim de protecție, trebuie să aplicați o configurație de rețea numită zonă demilitarizată. O zonă demilitarizată (DMZ) vă permite să găzduiți un server web într-un segment de rețea separat în afara intranetului (a se vedea figura).
Abrevierea DMZ provine din termenul militar "zonă demilitarizată", care descrie teritoriul neutru dintre cele două armate războinice. Un exemplu este zona dintre Coreea de Nord și Coreea de Sud. Zona demilitarizată izolează cele două țări una de alta în același mod în care rețeaua DMZ separă cele două rețele. Cel mai adesea, zona de demilitarizare este utilizată între Internet și rețeaua internă a organizației. Dacă un hacker trece cu succes primul paravan de protecție, acesta va putea ataca numai serverele din rețeaua perimetrală.
Principiul funcționării DMZ este acela că traficul nu poate fi transferat de la o rețea la alta fără a se ruta. Având un server de web în DMZ, îl plasați prin prezenta pe o altă subrețea și router, învecinându-se pe rețeaua internă și firewall-ul este folosit pentru a filtra și de a verifica traficul în procesul de rutare. DMZ este o metodă dovedită de protecție și atunci când o utilizați, este de dorit să găzduiți alte servicii de Internet, cum ar fi Protocolul Simple Mail Transfer Protocol / Post Office Protocol (protocoale SMTP și POP mail).
Paravanul de protecție situat între DMZ și rețeaua internă trebuie să conțină reguli diferite de regulile firewall-ului instalat în fața zonei demilitarizate. Firewall-ul trebuie să permită numai apeluri de servicii legate de aplicații interne, și pentru a preveni pătrunderea oricărui trafic web de intrare în rețea prin portul 80. Cu alte cuvinte, firewall-ul trebuie să permită numai traficul de intrare provenind de la server DMZ. care trebuie să comunice cu unul dintre sistemele interne, fie că este vorba despre o sesiune de browser pe computerul desktop sau despre aplicația la care este conectat serverul web. De exemplu, în cazul în care serverul de web are nevoie pentru a prelua sau a afișa datele dintr-o bază de date de clienti, se conecteaza la baza de date folosind limbajul SQL, care se deschide porturile TCP pe ecranul de rețea pentru a trece interogări și răspunsurile SQL și blochează toate celelalte date. Pentru Microsoft SQL Server, acest port este 1433 pentru traficul de ieșire și porturile sunt de la 1024 la 65535 pentru ieșiri (porturile sunt individuale pentru fiecare aplicație).
Pentru a consolida securitatea rețelei, pe fiecare parte a zonei demilitarizate sunt utilizate diferite tipuri de firewall-uri, fiecare având avantaje și dezavantaje. Dacă există tipuri de firewall diferite pe abordările din rețea, hacker-ul nu poate folosi același exploit pentru a depăși ambele sisteme. O eroare la unul dintre firewall-urile probabil lipsește pe cealaltă. Prin urmare, utilizarea a două firewall-uri va oferi un alt nivel de securitate, va complica hacking-ul sistemului și va crește probabilitatea ca protecția să reziste la atacurile hackerilor.