Serveurs Web et Zones pare-feu

Serveurs Web et FTP

Chaque réseau dispose d'une connexion Internet est à risque d'être compromise. Bien qu'il existe plusieurs étapes que vous pouvez prendre pour sécuriser votre réseau local, la seule vraie solution est de fermer votre réseau local pour le trafic entrant et le trafic sortant restreindre.

Toutefois, certains services tels que l'Internet ou les serveurs FTP requièrent les connexions entrantes. Si vous avez besoin de ces services, vous aurez besoin d'examiner s'il est essentiel que ces serveurs font partie de la LAN, ou si elles peuvent être placées dans un réseau physiquement séparé connu sous le nom d'une DMZ (zone démilitarisée ou si vous préférez son nom propre). Idéalement, tous les serveurs de la DMZ sera autonome serveurs, connexions et mots de passe uniques pour chaque serveur. Si vous avez besoin d'un serveur de sauvegarde pour les machines à l'intérieur de la zone démilitarisée, alors vous devriez acquérir une machine dédiée et de garder la solution de sauvegarde séparée de la solution de sauvegarde LAN.

La DMZ viendra directement sur le pare-feu, ce qui signifie qu'il ya deux routes dans et hors de la zone démilitarisée, le trafic en provenance et à l'internet, et le trafic vers et depuis le LAN. Le trafic entre la DMZ et le réseau local seraient traités de manière totalement séparée pour le trafic entre votre DMZ et Internet. Le trafic entrant de l'Internet seraient acheminés directement à votre DMZ.
Donc, si un pirate où compromettre une machine dans la DMZ, le réseau seulement ils pouvaient avoir accès à la DMZ serait. Le pirate aurait peu ou pas accès au réseau local. Il serait également le cas que toute infection de virus ou autre faille de sécurité dans le réseau local ne serait pas en mesure de migrer vers la DMZ.

Pour la DMZ pour être efficace, vous devrez garder le trafic entre le LAN et la DMZ à un minimum. Dans la majorité des cas, le seul trafic nécessaire entre le LAN et la DMZ est FTP. Si vous n'avez pas d'accès physique aux serveurs, vous aurez également besoin d'une sorte de protocole de gestion à distance tels que les services terminal ou VNC.

Serveurs de base de données

Si vos serveurs Web nécessitent l'accès à un serveur de base de données, alors vous aurez besoin de considérer l'emplacement de votre base de données. L'endroit le plus sûr pour localiser un serveur de base de données est de créer un nouveau réseau physiquement séparé appelé la zone sécurisée, et de placer le serveur de base de données là-bas.
La zone sécurisée est également un réseau physiquement séparé relié directement au pare-feu. La zone protégée est par définition le lieu le plus sécurisé au réseau. Le seul accès vers ou depuis la zone sécurisée serait la connexion à la base de la zone démilitarisée (et LAN si nécessaire).

Exceptions à la règle

Le dilemme auquel sont confrontés les ingénieurs réseau est de savoir où mettre le serveur de messagerie. Il nécessite une connexion SMTP à l'internet, mais il exige aussi l'accès au domaine du LAN. Si vous où placer ce serveur dans la DMZ, le trafic de domaine pourrait compromettre l'intégrité de la zone démilitarisée, ce qui en fait une simple extension du réseau local. Par conséquent, à notre avis, le seul endroit où vous pouvez mettre un serveur de messagerie est sur le LAN et autoriser le trafic SMTP sur ce serveur. Toutefois, nous vous recommandons de ne pas permettre toute forme d'accès à ce serveur HTTP. Si vos utilisateurs ont besoin d'accéder à leur messagerie depuis l'extérieur du réseau, il serait beaucoup plus sûr de regarder une certaine forme de solution VPN. (Avec le pare-feu de manipuler les connexions VPN. LAN des serveurs VPN autoriser le trafic VPN sur le réseau avant d'être authentifié, ce qui n'est jamais une bonne chose.)...