Как будет выглядеть простая DMZ для сценария сервера базы данных и (веб-сервер + средний уровень)?
У меня есть два сервера Linux:
- Первый содержит базу данных Oracle 11G, которая включает Oracle HTTP Server
- Второй содержит средний уровень Java плюс веб-сервер Apache и Apache Tomcat.
Кто-то упомянул мне, что я должен рассмотреть DMZ. Целью является защита базы данных от внешних пользователей. Тем не менее, мы можем доверять внутренним пользователям. Внутренним пользователям все равно потребуется доступ ко всем аспектам сервера базы данных.
Может ли кто-нибудь помочь мне понять, как будет выглядеть простая DMZ (для малого бизнеса) в этой ситуации? Это реализовано в аппаратном или программном обеспечении или в обоих?
Ничего не зная о DMZ, я пытаюсь понять, что мне нужно поручить моему хостинг-провайдеру для реализации DMZ (при условии, что нужно принять решение, а не просто сказать: "дайте мне DMZ"). "). Что мне нужно им сказать, или какие решения мне нужно будет принять, прежде чем подойти к ним?
Есть ли какая-то причина, по которой кто-то может не хотеть или нуждаться во внедрении DMZ в сценарии выше? Или общепринято всегда быть хорошей идеей?
2 ответа
Смысл DMZ состоит в том, чтобы установить периметр безопасности, через который разрешается пропускать только известный желаемый трафик. Это можно сделать с помощью устройства аппаратного брандмауэра (Cisco ASA и т. Д.) Или с помощью программного брандмауэра (Linux iptables, OpenBSD pfsense и т. Д.). Дело в том, чтобы иметь механизм для арбитража трафика и принятия решений о том, какие потоки являются подходящими.
Физически соединение DMZ с вашим интернет-соединением может выглядеть примерно так:
{ the internet }----[ Firewall Device ]-----{ LAN }
|
|
{ DMZ }
Обычно одна физическая сетевая интерфейсная плата на устройстве брандмауэра предназначена для подключения к каждому из этих сегментов (Интернет, DMZ и LAN). Это может быть сделано с VLAN для использования меньшего количества физических сетевых карт, но затем вы начинаете смешивать различные проблемы безопасности в пределах одной и той же физической среды (и этого, как правило, следует избегать, если вы не получаете какое-то конкретное преимущество, делая это).
Предполагая, что пользователи приложения будут обращаться к веб-серверу Apache через порт TCP 80 "второго сервера" (который я собираюсь назвать "веб-сервером"), чтобы использовать приложение, я вижу компьютер веб-сервера, сидящий в Сегмент DMZ с доступом, контролируемым устройством брандмауэра, создающим DMZ для:
- Разрешить запросы от произвольных исходных IP-адресов и портов в Интернете к веб-серверу (TCP-порт 80)
- Разрешить запросы от произвольных портов TCP на веб-сервере к серверу базы данных Oracle на порт Oracle TNS (обычно порт TCP 1521)
- Разрешить запросы от произвольных исходных IP-адресов и портов в локальной сети к порту SSH на веб-сервере (для администрирования)
(Предполагая, что вы используете устройство с брандмауэром с сохранением состояния для арбитража доступа к DMZ, вам не нужно специально создавать правила для ответов на запросы выше.)
Это очень упрощенный взгляд, но он передает идею. Вы, вероятно, захотите, чтобы веб-сервер разрешал DNS-запросы, и вы можете разрешить ему доступ к HTTP или HTTPS-серверу, с которого можно загружать обновления ОС. Я настоятельно рекомендую не разрешать веб-серверу произвольный исходящий доступ к Интернету (поскольку многие эксплойты полагаются на то, что эксплуатируемый компьютер может загружать полезную нагрузку "второй стадии"). Если вам не нужен кто-то в Интернете для администрирования веб-сервера, не разрешайте входящий SSH из Интернета. (Если вам нужно управлять им с удаленного узла, лучше подключиться к VPN в сегменте ЛВС и получить доступ к веб-серверу из ЛВС.)
Демилитаризованная зона или DMZ - это сегмент сети, который отделен от других сетей. Многие организации используют DMZ для отделения своих локальных сетей (LAN) от Интернета. Это обеспечивает дополнительную безопасность между их корпоративной сетью и общедоступным Интернетом.
Общие элементы, которые размещаются в демилитаризованной зоне, являются открытыми серверами. Например, если организация поддерживает свой веб-сайт на сервере, этот веб-сервер может быть помещен в DMZ. Таким образом, если машина когда-либо будет взломана, остальная часть сети компании не будет в опасности.
При подключении локальной сети к Интернету маршрутизатор обеспечивает физическое подключение к общедоступному Интернету, а межсетевой экран обеспечивает шлюз для предотвращения проникновения вредоносных данных в сеть. Один порт брандмауэра будет часто подключаться к корпоративной сети с использованием внутреннего адреса в этой сети, что позволяет отправлять трафик отдельным сотрудникам компании в Интернет. Другой порт обычно будет настроен с публичным адресом, который позволит интернет-трафику достигать организации. Эти два порта могут позволить входящим и исходящим данным достигать организации в Интернете.