Уеб сървъри, FTP и зони на защитната стена
Всеки мрежов обект, който разполага с интернет връзка, е под риск от компрометиране. Ето някои от стъпките, които ще запазят мрежите защитени.
Въпреки че има няколко стъпки, които можете да предприемете, за да защитите своя LAN, единственото истинско решение е да затворите вашия LAN за входящ трафик и да ограничите изходящия трафик.
С казано това,
TSplus Advanced Security
осигурява отлична обща защита срещу цяла гама кибер заплахи и затваря някои от най-широко отворените врати.
Отделни области за LAN или изложени DMZ сървъри
Сега някои услуги като уеб или FTP сървъри изискват входящи връзки. Ако се нуждаете от тези услуги, трябва да обмислите дали е необходимо тези сървъри да бъдат част от LAN, или дали могат да бъдат поставени в физически отделна мрежа, известна като DMZ (или демилитаризирана зона, ако предпочитате нейното правилно име). Идеално е всички сървъри в DMZ да са самостоятелни сървъри, с уникални влизания и пароли за всеки сървър. Ако се нуждаете от резервен сървър за машините в DMZ, трябва да си осигурите отделна машина и да държите резервното решение отделно от резервното решение за LAN.
Отделни маршрути за трафик за LAN и изложени сървъри
DMZ-то ще бъде направо от защитната стена, което означава, че има два маршрута в и извън DMZ-то, трафик към и от Интернет и трафик към и от LAN. Трафикът между DMZ-то и вашия LAN би бил третиран напълно отделно от трафика между вашия DMZ и Интернет. Входящият трафик от интернета би бил насочен директно към вашия DMZ.
LAN Скрит от по-изложени DMZ сървъри
Затова, ако някой хакер успее да компрометира машина в DMZ, тогава единствената мрежа, до която биха могли да достъпят, би била DMZ. Хакерът би имал малко или никакъв достъп до LAN. Също така би било така, че всяко заразяване с вирус или друго компрометиране на сигурността в LAN нямаше да може да мигрира към DMZ.
Минимална комуникация за по-голяма сигурност на LAN устройствата
За да бъде DMZ ефективна, трябва да поддържате трафика между LAN и DMZ на минимум. В повечето случаи, единственият трафик, необходим между LAN и DMZ, е FTP. Ако нямате физически достъп до сървърите, също ще ви трябва някакъв вид протокол за отдалечено управление като терминални услуги или VNC.
TSplus Решения за повишаване на сигурността на ЛАН и ДМЗ
TSplus софтуер
е създаден, за да бъде достъпен, прост и сигурен. Киберсигурността отдавна е централна цел за компанията, толкова много, че нашият продукт за киберзащита е развил се до стане всестранен 360° инструмент за сигурност. TSplus Advanced Security е прост и достъпен защитен инструмент, разработен за защита на вашата настройка от зловреден софтуер и рансъмуер, атаки със сила на пароли, злоупотреба с удостоверения... И случайно блокира милиони известни зловредни IP адреси. Той също така учи от стандартните потребителски поведения и можете да добавите в бял списък адреси, които са важни според нуждите.
Кое е мястото за сървърите на бази данни в мрежата
Ако уеб сървърите ви изискват достъп до сървър за бази данни, тогава трябва да обмислите къде да поставите базата данни. Най-сигурното място за разполагане на сървър за бази данни е да създадете още една физически отделна мрежа, наречена сигурната зона, и да поставите сървъра за бази данни там.
Сигурната зона също е физически отделна мрежа, свързана директно към защитната стена. Сигурната зона по дефиниция е най-сигурното място в мрежата. Единственият достъп до или от сигурната зона би бил връзката към базата данни от DMZ (и LAN, ако е необходимо).
Имейл - Изключение от мрежовите правила
Най-големият дилема, пред който се изправят мрежовите инженери, може да бъде къде да поставят пощенския сървър. Той изисква SMTP връзка към интернет, но също така изисква достъп до домейна от LAN. Ако поставите този сървър в DMZ, трафикът на домейна ще застраши цялостта на DMZ, като го направи просто разширение на LAN. Следователно, според нас, единственото място, където можете да поставите пощенски сървър, е на LAN и да позволите на SMTP трафика към този сървър.
Въпреки това, бихме препоръчали да не позволявате никакъв вид HTTP достъп до този сървър. Ако вашите потребители изискват достъп до своята поща извън мрежата, би било много по-сигурно да разгледате някакъв вид VPN решение. Това би изисквало защитната стена да се справя с VPN връзките. Наистина, VPN сървър базиран на LAN би позволил на VPN трафика да влезе в LAN преди да бъде удостоверен, което никога не е добро нещо.
В заключение: LAN, DMZ и настройка на мрежата
Относно FTP, каквито и да са изборите ви, важно е всеки от тях да бъде добре планиран и обмислен. Все пак, също така е от съществено значение крайният резултат да има смисъл и да функционира заедно възможно най-сигурно.
Без значение дали става въпрос за напреднала сигурност, отдалечен достъп или нещо друго, продуктите на TSplus имат сигурност в своята ДНК. Можете да закупите или да тествате някой от тях от нашите продуктови страници.
Вижте сами функциите, които предлага TSplus Advanced Security. За да изтеглите, кликнете
тук
.
Инсталирането отнема само моменти и нашето софтуер е наличен безплатно за 15-дневен пробен период.