Использование демилитаризованной зоны сети
К сожалению, если порты открыты через периметр, защищаемый одним сетевым экраном, то безопасность периметра будет слабой. Это все же лучше, чем отсутствие сетевого экрана, но такой способ защиты не является оптимальным. Если поставщик услуг интернета предоставляет такую возможность и при наличии ресурсов, для максимального уровня защиты следует применить конфигурацию сети, называемую демилитаризованной зоной. Демилитаризованная зона (DMZ) позволяет разместить веб-сервер в отдельном сегменте сети вне интранет-сети (см. рисунок).
увеличить изображение
Аббревиатура DMZ происходит от военного термина "демилитаризованная зона", описывающего нейтральную территорию между двумя враждующими армиями. Примером является зона между Северной и Южной Кореей. Демилитаризованная зона изолирует две страны друг от друга так же, как сетевая DMZ разделяет две сети. Чаще всего демилитаризованная зона применяется между интернетом и внутренней сетью организации. Если хакер успешно преодолеет первый сетевой экран, он сможет атаковать только серверы в демилитаризованной зоне.
Принцип работы DMZ заключается в том, что трафик не может переходить из одной сети в другую без маршрутизации. Располагая веб-сервер в демилитаризованной зоне, вы тем самым размещаете его в другой подсети, поэтому маршрутизатор, граничащий с внутренней сетью, и сетевой экран используются для фильтрации и проверки трафика в процессе маршрутизации. DMZ представляет собой проверенный способ защиты, и при ее использовании желательно разместить в ней и другие службы интернета, например, Simple Mail Transfer Protocol/Post Office Protocol (почтовые протоколы SMTP и POP).
Сетевой экран, расположенный между DMZ и внутренней сетью, должен содержать правила, отличные от правил сетевого экрана, установленного перед демилитаризованной зоной. Этот сетевой экран должен пропускать только вызовы служб, относящихся к внутренним приложениям, и не допускать проникновения произвольного входящего веб-трафика внутрь сети через порт 80.
Иными словами, сетевой экран должен пропускать только входящий трафик, поступающий с сервера в DMZ, которому необходимо установить связь с одной из внутренних систем, будь это сеанс браузера на настольном компьютере или приложение, к которому подключен веб-сервер. Например, если веб-серверу нужно извлечь или отобразить данные из базы данных клиентов, он подключается к базе данных с помощью языка SQL, для чего открывает порты TCP на сетевом экране для пропуска запросов и ответов SQL и блокирует все остальные данные. Для Microsoft SQL Server это порт 1433 для исходящего трафика и порты с1024 по 65535 для исходящего (порты индивидуальны для каждого приложения).
Для усиления защищенности сети используются различные типы сетевых экранов по обе стороны от демилитаризованной зоны, каждый из которых имеет свои преимущества и недостатки. Если на подступах к сети расположить сетевые экраны различных типов, то хакер не сможет использовать один и тот же эксплоит для преодоления обеих систем. Ошибка на одном из сетевых экранов, вероятно, отсутствует на другом. Поэтому использование двух сетевых экранов обеспечит еще один уровень безопасности, усложнит взлом системы и повысит вероятность того, что защита устоит перед атаками хакеров.
