如何为您的服务器安装隔离区

随着网络攻击数量的不断增加,组织需要采取措施保护其资产。他们使用的工具之一是 DMZ非军事区网络

什么是非军事区网络?

在计算机安全方面,用于中小型网络的常见设置包括处理从内部网络 (LAN) 到 Internet 以及从 Internet 到 LAN 的 所有请求的防火墙。此防火墙是内部网络在这些设置中的唯一保护;它通过转发和过滤它认为合适的请求来处理任何 NAT(网络地址转换)。

如何为您的服务器安装隔离区

对于小公司来说,这通常是一个很好的设置。但是对于大公司来说,将所有服务器都放在防火墙后面并不是那么有效。这就是为什么使用外围安全网络(也称为非军事区网络或 DMZ)将内部网络与外部世界隔离开来的原因。这样,外部人员可以访问 DMZ 中的公共信息,而私有的专有信息则安全地保存在 DMZ 后面,进入内部网络。

这样,在发生安全漏洞的情况下,攻击者将只能访问 DMZ 网络中的服务器。这可能很烦人并可能导致停机,但至少敏感信息是安全的。以下是您可以保留在非军事区网络中的一些服务示例:

  • 具有公共信息的网络服务器;
  • 应用程序的前端(后端应安全地保存在 DMZ 后面);
  • 邮件服务器;
  • 认证服务;
  • 诸如用于一般公共用途的 HTTP、安全 SMTP、安全 FTP 和安全 Telnet 等服务;
  • VoIP 服务器;
  • VPN端点;
  • 应用网关;
  • 测试和登台服务器。

为什么要使用非军事区网络?

DMZ 服务器将保护您的内部网络免受外部访问。它通过将公共服务(要求 Internet 上的任何实体连接到您的服务器)与您网络中的本地私有 LAN 机器隔离开来。实现这种分隔器的最常用方法是设置安装了3 个网络接口的防火墙。第一个用于 Internet 连接,第二个用于 DMZ 网络,第三个用于专用 LAN。任何入站连接都会自动转发到 DMZ 服务器,因为专用 LAN 不运行任何服务且不可连接。这就是配置非军事区域网络有助于将 LAN 与任何 Internet 攻击隔离开来的方式。

如何为您的服务器安装隔离区

如何配置非军事区网络?

首先,您需要决定每台机器上将运行哪些服务。DMZ 服务器通常在物理和逻辑上位于不同的网段。这意味着您需要使用单独的机器来托管您想要公开的服务(例如 DNS、Web、邮件等)。

从连接的角度来看,DMZ 将位于与 LAN 不同的子网上。要构建隔离区网络,您需要具有三个网络接口的防火墙:一个用于不可信网络(Internet),一个用于 DMZ,一个用于内部网络。您要连接到外部网络的所有服务器都将放在 DMZ 网络中,所有包含关键数据的服务器都将放在防火墙后面。在配置防火墙时,您应该严格限制流向内部网络的流量,但您可以减少对 DMZ 中的流量的限制。接下来,您应该为 LAN 上的计算机提供 NAT,以便为客户端主机启用 Internet 访问。您还应该允许客户端连接到 DMZ 中的服务器。这是最终 DMZ 网络架构设置的示意图:

如何为您的服务器安装隔离区

这种配置也称为三足模型。为了提高网络安全性,您还可以使用两个防火墙(背靠背模型)。在此设置中,其中一个防火墙将只允许发往 DMZ 的流量,而另一个只允许从内部网络发往 DMZ 的流量。这提供了额外的安全层,因为攻击者需要破坏两台设备才能访问您的内部网络。这是带有两个防火墙的 DMZ 网络图:

如何为您的服务器安装隔离区

强化 DMZ 服务器

非军事区网络中的计算机显然需要尽可能地加固,因为它们将位于第一线,就在防火墙后面。他们的位置将防止对 LAN 的攻击,但也可能增加被入侵的风险。

以下是提高 DMZ 系统安全性的 6 种方法:

  1. 禁用所有不必要的服务和守护进程;
  2. 尽可能运行 chrooted 服务;
  3. 尽可能使用非特权 UID 和 GID 运行服务;
  4. 删除或禁用不必要的用户帐户;
  5. 配置日志记录并定期检查日志;
  6. 使用防火墙的安全策略和反 IP 欺骗功能。

您可以通过添加多个具有不同安全级别的隔离区来改进您的 DMZ 基础设施,具体取决于部署的系统和服务的数量。这些区域可以组合成一个层状结构,以便信息从一个 DMZ 服务器传递到另一个。这种类型的网络基础设施可能不是保护私有边界的最安全方式,但有时是必需的。

如何为您的服务器安装隔离区

这种情况的一个例子是,放置在非军事区网络中的 Web 服务器需要通过放置在第二个非军事区网络中的安全端口(并且仅限该端口)访问数据库服务器。 如果有这样的要求,这个数据库服务器最终可以访问在私有 LAN 系统上找到的一些数据。通过这种方式,可以保护数据库免于公开暴露,同时保持网络服务器可访问且私有 LAN 处于隔离状态。注意:上面列出的方法仅适用于 Linux / *NIX 类型的系统。

关于 DMZ 服务器的注意事项

非军事区网络概念的简单性使其非常强大。这就是为什么我们建议您在那里部署Axigen 电子邮件服务器而不是您的内部网络 - 以确保您的电子邮件通信以及其他敏感数据的安全。但是,请记住,DMZ 服务器可以被视为一种安全措施,但它本身并不是一种安全措施。 尽管如此,凭借紧密且经过深思熟虑的网络基础设施、IDS(入侵检测系统)和 IPS(入侵预防系统),它可以成为抵御攻击者和不需要或不需要的流量的障碍。

文章链接: https://www.mfisp.com/8156.html

文章标题:如何为您的服务器安装隔离区

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
服务器vps推荐

裸机服务器你需要知道的一切

2022-7-6 11:57:38

服务器vps推荐

有哪些不同类型的虚拟主机?

2022-7-6 12:37:24

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠