Použitie DMZ a FTP pre LAN a siete s webovými servermi

Web servery, FTP a zóny firewallu

Každá sieť, ktorá má pripojenie na internet, je ohrozená možnosťou kompromitácie. Tu sú niektoré kroky, ktoré udržia siete chránené.

Hoci existuje niekoľko krokov, ktoré môžete podniknúť na zabezpečenie vášho LAN, jediným skutočným riešením je uzavrieť váš LAN pre prichádzajúcu prevádzku a obmedziť odchádzajúcu prevádzku.

Hovorí sa, TSplus Advanced Security poskytuje skvelú celkovú ochranu proti širokej škále kybernetických hrozieb a zatvára niektoré z najširších otvorených dverí.

Samostatné oblasti pre LAN alebo vystavené servery DMZ

Teraz niektoré služby, ako sú webové alebo FTP servery, vyžadujú prichádzajúce pripojenia. Ak potrebujete tieto služby, budete musieť zvážiť, či je nevyhnutné, aby tieto servery boli súčasťou LAN, alebo či ich možno umiestniť do fyzicky oddelenej siete známej ako DMZ (alebo demilitarizovaná zóna, ak uprednostňujete jej správne meno). Ideálne by všetky servery v DMZ mali byť samostatné servery, s jedinečnými prihlasovacími menami a heslami pre každý server. Ak potrebujete záložný server pre stroje v DMZ, mali by ste získať dedikovaný stroj a udržiavať záložné riešenie oddelené od záložného riešenia LAN.

Samostatné trasy pre LAN a vystavené servery

DMZ bude priamo odchádzať z firewallu, čo znamená, že existujú dva spôsoby vstupu a výstupu z DMZ, premávka do a z internetu a premávka do a z LAN. Premávka medzi DMZ a vaším LAN by sa spracovávala úplne oddelene od premávky medzi vaším DMZ a internetom. Prichádzajúca premávka z internetu by sa smerovala priamo do vášho DMZ.

LAN skrytá viac vystavenými servermi DMZ

Preto ak by sa akýkoľvek hacker zmocnil stroja v rámci DMZ, potom jedinou sieťou, ku ktorej by sa dostal prístup, by bola DMZ. Hacker by mal malý alebo žiadny prístup k LAN. Bolo by tiež pravdou, že akákoľvek infekcia vírusom alebo iný kompromis týkajúci sa bezpečnosti v LAN by sa nedokázala presunúť do DMZ.

Minimálna komunikácia pre väčšiu bezpečnosť LAN zariadení

Na to, aby bola DMZ efektívna, budete musieť udržiavať prevádzku medzi LAN a DMZ na minimum. Vo väčšine prípadov je jediná prevádzka potrebná medzi LAN a DMZ FTP. Ak nemáte fyzický prístup k serverom, budete potrebovať aj nejaký druh vzdialeného riadiaceho protokolu, ako sú terminálové služby alebo VNC.

TSplus riešenia pre zvýšenú bezpečnosť LAN a DMZ.

TSplus softvér je navrhnutý tak, aby bol cenovo dostupný, jednoduchý a bezpečný. Kybernetická bezpečnosť bola pre spoločnosť dlhodobo centrálnym cieľom, až do takej miery, že náš kybernetický ochranný produkt sa vyvinul na všestranný 360° bezpečnostný nástrojový balík. Pokročilá bezpečnosť TSplus je jednoduchá a cenovo dostupná obrana vyvinutá na ochranu vášho nastavenia pred malvérom a ransomvérom, útokmi hrubou silou, zneužitím prihlasovacích údajov... A mimochodom blokuje milióny známych zlomyseľných IP adries. Tiež sa učí zo štandardného správania používateľov a môžete povoliť adresy, ktoré sú dôležité podľa potreby.

Ktoré miesto pre databázové servery v sieti

Ak vaše webové servery vyžadujú prístup k databázovému serveru, budete musieť zvážiť, kde umiestniť vašu databázu. Najbezpečnejším miestom na umiestnenie databázového servera je vytvorenie ďalšej fyzicky oddelenej siete nazvanej bezpečná zóna a umiestnenie databázového servera tam.

Bezpečná zóna je tiež fyzicky oddelená sieť priamo pripojená k firewallu. Bezpečná zóna je definovaná ako najbezpečnejšie miesto v sieti. Jediný prístup do alebo z bezpečnej zóny by bol pripojenie k databáze z DMZ (a LAN, ak je potrebné).

Email - Výnimka z pravidiel siete

Najväčším dilemou, s ktorou sa môžu stretávať sieťoví inžinieri, môže byť skutočne miesto, kde umiestniť emailový server. Vyžaduje pripojenie SMTP na internet, no zároveň vyžaduje prístup k doméne z LAN. Ak by ste umiestnili tento server do DMZ, premávka domény by ohrozila integritu DMZ, čím by sa jednoducho stala rozšírením LAN. Preto podľa nášho názoru jediné miesto, kde môžete umiestniť emailový server, je v LAN a umožniť premávku SMTP do tohto servera.

Avšak odporúčame nepovoliť žiadny formát prístupu HTTP na tento server. Ak vaši používatelia potrebujú prístup k svojej pošte zvonku siete, bolo by oveľa bezpečnejšie zvážiť nejaké riešenie VPN. To by vyžadovalo, aby firewall spracovával pripojenia VPN. Skutočne, LAN založený VPN server by umožnil VPN prevádzku na LAN pred autentifikáciou, čo nie je nikdy dobrá vec.

V záverečnej časti: LAN, DMZ a nastavenie siete

V súvislosti s FTP je dôležité, aby boli všetky vaše rozhodnutia dobre premyslené a dobre naplánované. Avšak je tiež nevyhnutné, aby výsledok bol logický a fungoval čo najbezpečnejšie. Či už ide o pokročilú bezpečnosť, vzdialený prístup alebo akýkoľvek iný, produkty TSplus majú bezpečnosť v ich DNA. Môžete si kúpiť alebo vyskúšať akýkoľvek z nich z našich produktových stránok.

Presvedčte sa sami o funkciách, ktoré ponúka TSplus Advanced Security. Pre stiahnutie kliknite. tu . Inštalácia trvá len okamihy a naša softvér je k dispozícii zadarmo počas 15-dňovej skúšobnej verzie.