SERVER FARM 泛指由 SERVER 所構成的伺服器其包含了 WEB SERVER / EMAIL SERVER / FTP SERVER / DNS SERVER 之須對分公司開放的 ERP SERVER,而當這些 SERVER 須對外開放時則必須考慮到下列的情形
DMZ的架構建置 儘管想要盡量避免,還是會有一些特定的服務是需要開放給?自不可信任的網路的使用者的狀況,例如企業組織對外開放的Web Server就是一個常見的例子。這看來是一個兩難的局面:又需要讓此一系統開放對外、但是又希望對此一系統進行保護。若將WWW Server放置在防火牆的外面,則此一Web Server將會完全暴露在外界的攻擊範圍之下,若放置在防火牆內部,則又得擔心此一通道可能帶來風險。 解決這個問題最有效的方式是將這類必須要公開給外界存取的系統置放在第三個網路上,這個網路一般被稱為DMZ(DeMilitarized Zone)或是SSN(Secure Server Network)。 透過此一第三個網路的建置,管理者在將這些必須對外公開服務的系統建置在DMZ上之後,設定外界可以存取這些系統上的公開服務,但對此一系統上的其他任何服務都不能通行,同時,提供此一公開服務的伺服器無權存取內部網路的其他任何系統或服務。 ◆DMZ架構對Web Server的保護 由於在DMZ架構下,外界對Web Server的存取僅限於使用的80port的Web服務,此一系統上的其他服務:如FTP、SMPT等常見的服務,以及其他協定如ICMP、UDP、RPC等,都將因此被隔離。如此外界對此一系統唯一可能的攻擊點將僅有Web這個服務,因此,只有當Web服務出現安全弱點時,攻擊者才會有機會成功的攻擊此一系統。反之,若將此一系統直接暴露在網路防火牆外面,則此一系統上的任何服務或協定(FTP,SMTP,ICMP……)出現安全弱點時,都將可能會成為被成功攻擊的目標。因此,DMZ的建置達到了降低Web Server被攻擊的風險的效果。 ◆DMZ架構對內部網路之保護 儘管DMZ降低了Web Server遭受攻擊的風險,但不表示此一風險已經完全被排除,一旦Web服務出現安全弱點,Web Server還是可能會被入侵。 如果Web Server和內部網路上的其他系統間沒有任何的屏障,Web Server被入侵,將會嚴重的影響這些系統的安全性。在透過DMZ讓Web Server和內部網路間建立一個屏障之後,只要網路防火牆上沒有開放任何自DMZ到內部網路的服務,即便Web Server被入侵,仍將不會影響到內部網路的安全狀態。因此,DMZ的建置同時也提供了對內部網路的保護。 在建構了DMZ網路之後,設定安全政策的方向會變得更為複雜,此時管理者應該在設定時更為小心避免出錯。 無特定服務對象的其他對外服務之規劃考量:對於和外界無關的服務而言,管理者並不需要多餘的考量,只需一概拒絕外界對內部這些服務的存取即可。但是,對和外接相關的服務,除了Web服務已經在DMZ中說明之外,以下針對幾個特定的服務進行說明: |
和Web相關之資料庫系統 若Web有需求對公司之內部資訊系統進行動能之查詢,最佳狀態是在DMZ上設置一內部資訊系統之分身,並且阻擋所有由DMZ對內部網路之存取,僅將與Web查詢相關之欄位複製至此一分身。若無法複製此一分身,則可以考慮開放來自Web Server對內部資訊系統查詢所使用到之網路服務,所有來自DMZ網路對內部網路之其他網路存取仍應阻隔。DNS之建構 基於安全以及IP轉換的需求,雙重DNS的架構是多數環境應有之建置方式。在內建雙重DNS功能的網路防火牆上可以直拉利用其功能解決此一問題。無此功能的網路防火牆則應在DMZ及內部網路中分別建置一對外和對內使用的DNS,分別儲存不一樣的資料。 Email Server之建構 多數人會認為Mail Server應該放置在DMZ網路上,不過這其實應該視狀況而定。對於一個只有Web和Mail而沒有其他服務的企業環境中,Mail已經是最重要的資訊了,此時應直接將Mail Server放置在內部網路即可,但若是內部還有更重要的系統時,放置在DMZ亦不失為一個可行的方式。不過,對於特定提供了安全的Mail Server的防火牆而言,將置於內部的Mail Server則為對安全及效能更適合的規劃方式,不過此種方式的先決條件是防火牆上的Mail Server是可以信任的,否則反而會危害防火牆自身的安全。 看過此篇文不錯..... http://www.wisfront.com/firewall/server.htm |
沒有留言:
張貼留言