Содержание

Веб-серверы, FTP и зоны брандмауэра

Каждая сеть, которая имеет подключение к интернету, подвержена риску компрометации. Вот несколько шагов, которые помогут защитить сети.

Хотя существует несколько шагов, которые вы можете предпринять, чтобы обезопасить свою локальную сеть, единственным реальным решением является закрытие локальной сети для входящего трафика и ограничение исходящего трафика.

Говоря об этом, TSplus Advanced Security обеспечивает отличную всеобъемлющую защиту от целого ряда киберугроз и закрывает некоторые из самых широко открытых дверей.

Отдельные области для серверов LAN или открытых серверов DMZ

Теперь некоторые службы, такие как веб-серверы или FTP-серверы, требуют входящих соединений. Если вам нужны эти службы, вам нужно будет решить, является ли необходимым, чтобы эти серверы были частью локальной сети, или они могут быть размещены в физически отдельной сети, известной как DMZ (или демилитаризованная зона, если вы предпочитаете ее правильное название). Идеально, все серверы в DMZ будут автономными серверами, с уникальными логинами и паролями для каждого сервера. Если вам нужен резервный сервер для машин в DMZ, то вам следует приобрести выделенную машину и держать резервное решение отдельно от резервного решения для локальной сети.

Отдельные маршруты трафика для локальной сети и открытых серверов

DMZ будет подключаться непосредственно к брандмауэру, что означает, что существует два пути в и из DMZ, трафик в Интернет и из него, и трафик между DMZ и локальной сетью. Трафик между DMZ и вашей локальной сетью будет обрабатываться полностью отдельно от трафика между вашей DMZ и Интернетом. Входящий трафик из Интернета будет направляться непосредственно в вашу DMZ.

LAN скрыт более открытыми серверами DMZ

Поэтому, если бы хакер смог скомпрометировать машину в пределах ДМЗ, то единственной сетью, к которой он смог бы получить доступ, была бы ДМЗ. У хакера было бы мало или совсем нет доступа к ЛВС. Также было бы так, что любое заражение вирусом или другое нарушение безопасности в ЛВС не смогло бы мигрировать в ДМЗ.

Минимальное взаимодействие для повышения безопасности устройств LAN

Для того чтобы ДМЗ была эффективной, вам придется минимизировать трафик между ЛВС и ДМЗ. В большинстве случаев, единственный необходимый трафик между ЛВС и ДМЗ - это FTP. Если у вас нет физического доступа к серверам, вам также понадобится какой-то вид удаленного протокола управления, такого как терминальные службы или VNC.

Решения TSplus для повышения безопасности локальной сети и демилитаризованной зоны

программное обеспечение TSplus разработан для того, чтобы быть доступным, простым и безопасным. Кибербезопасность давно является центральной целью компании, настолько, что наш продукт киберзащиты превратился в универсальный инструментарий безопасности 360°. TSplus Advanced Security - это простая и доступная защита, разработанная для защиты вашей системы от вредоносных программ и вымогательского программного обеспечения, атак методом перебора паролей, злоупотребления учетными данными... Кстати, он блокирует миллионы известных вредоносных IP-адресов. Он также учится на основе стандартного поведения пользователей, и вы можете добавлять в белый список адреса, которые важны по мере необходимости.

Какое место для серверов баз данных в сети

Если вашим веб-серверам требуется доступ к серверу баз данных, то вам нужно будет решить, где разместить вашу базу данных. Самое безопасное место для размещения сервера баз данных - создать еще одну физически отдельную сеть, называемую безопасной зоной, и разместить там сервер баз данных.

Область безопасности также является физически отдельной сетью, подключенной непосредственно к брандмауэру. Область безопасности по определению является самым безопасным местом в сети. Единственный доступ к или из безопасной зоны будет соединение с базой данных из ДМЗ (и ЛВС, если требуется).

Email - Исключение из сетевых правил

Самая большая дилемма, с которой сталкиваются сетевые инженеры, может заключаться в том, где разместить почтовый сервер. Для его работы требуется подключение SMTP к интернету, но также требуется доступ к домену с локальной сети. Если вы поместите этот сервер в зону DMZ, трафик домена скомпрометирует целостность DMZ, превратив ее просто в расширение LAN. Поэтому, на наш взгляд, единственное место, где можно разместить почтовый сервер, - это LAN, и разрешить трафик SMTP на этот сервер.

Однако мы бы рекомендовали воздержаться от предоставления любой формы доступа HTTP на этот сервер. Если ваши пользователи нуждаются в доступе к своей почте извне сети, намного безопаснее будет рассмотреть какое-то решение в виде VPN. Для этого потребуется настройка брандмауэра для обработки VPN-соединений. Действительно, VPN-сервер на основе локальной сети позволит трафику VPN попасть на локальную сеть до аутентификации, что никогда не бывает хорошим.

В заключение: LAN, DMZ и настройка сети

Относительно FTP, какие бы выборы вы ни сделали, важно, чтобы каждый из них был тщательно спланирован и обдуман. Тем не менее, также важно, чтобы конечный результат имел смысл и работал вместе как можно безопаснее. Будь то Расширенная безопасность, Удаленный доступ или что-то еще, продукты TSplus имеют безопасность в своем ДНК. Вы можете купить или протестировать любой из них на наших страницах продуктов.

Ознакомьтесь с функциями, которые предлагает TSplus Advanced Security. Чтобы скачать, нажмите здесь . Установка занимает всего лишь мгновение, и наше программное обеспечение доступно бесплатно на 15 дней в качестве пробной версии.

Связанные сообщения

TSplus Remote Desktop Access - Advanced Security Software

Укрепление цифровой защиты: что такое защита конечных точек?

Что такое защита конечных точек? Эта статья направлена на то, чтобы помочь принимающим решения и ИТ-агентам улучшить свои меры кибербезопасности в вопросах защиты конечных точек, обеспечивая высокую операционную продуктивность и защиту критически важных данных.

Читать статью →
back to top of the page icon