Mục lục

Máy chủ Web, FTP và Vùng Tường Lửa

Mọi mạng có kết nối internet đều có nguy cơ bị xâm nhập. Dưới đây là một số bước giúp bảo vệ mạng.

Trong khi có một số bước mà bạn có thể thực hiện để bảo vệ mạng LAN của bạn, giải pháp duy nhất là đóng cửa mạng LAN của bạn đối với lưu lượng truy cập đến và hạn chế lưu lượng truy cập đi.

Nói vậy, TSplus Advanced Security cung cấp bảo vệ toàn diện tuyệt vời chống lại một loạt các mối đe dọa mạng và đóng một số cửa mở rộng nhất.

Khu vực riêng cho máy chủ LAN hoặc DMZ tiếp xúc

Bây giờ, một số dịch vụ như máy chủ Web hoặc FTP yêu cầu kết nối đến. Nếu bạn cần những dịch vụ này, bạn sẽ cần xem xét xem việc máy chủ này có phải là một phần của LAN hay không, hoặc liệu chúng có thể được đặt trong một mạng riêng biệt vật lý được gọi là DMZ (hoặc khu vực không quân nếu bạn thích tên chính thức của nó). Lý tưởng nhất, tất cả các máy chủ trong DMZ sẽ là máy chủ độc lập, với tên đăng nhập và mật khẩu duy nhất cho mỗi máy chủ. Nếu bạn cần một máy chủ sao lưu cho các máy trong DMZ thì bạn nên mua một máy chủ riêng và giữ giải pháp sao lưu riêng biệt khỏi giải pháp sao lưu LAN.

Tuyến đường giao thông riêng cho LAN và máy chủ tiếp xúc

DMZ sẽ được kết nối trực tiếp từ tường lửa, điều này có nghĩa là có hai tuyến đường vào và ra khỏi DMZ, giao thông đến và từ Internet, và giao thông đến và từ LAN. Giao thông giữa DMZ và LAN của bạn sẽ được xử lý hoàn toàn riêng biệt so với giao thông giữa DMZ của bạn và Internet. Giao thông đến từ Internet sẽ được định tuyến trực tiếp đến DMZ của bạn.

Mạng LAN bị ẩn bởi các máy chủ DMZ nhiều hơn

Do đó, nếu bất kỳ hacker nào có thể xâm nhập vào một máy trong vùng DMZ, thì mạng duy nhất mà họ có thể truy cập sẽ là DMZ. Hacker sẽ có ít hoặc không có quyền truy cập vào LAN. Cũng sẽ xảy ra trường hợp mà bất kỳ lây nhiễm virus hoặc sự xâm nhập bảo mật khác trong LAN sẽ không thể di chuyển sang DMZ.

Giao tiếp tối thiểu để tăng cường bảo mật cho Thiết bị LAN

Để DMZ hoạt động hiệu quả, bạn sẽ cần giữ lưu lượng giữa LAN và DMZ ở mức tối thiểu. Trong hầu hết các trường hợp, lưu lượng duy nhất cần thiết giữa LAN và DMZ là FTP. Nếu bạn không có quyền truy cập vật lý vào máy chủ, bạn cũng cần một loại giao thức quản lý từ xa như dịch vụ terminal hoặc VNC.

TSplus Giải pháp cho việc tăng cường bảo mật LAN và DMZ

Phần mềm TSplus được thiết kế để phải chi phí, đơn giản và an toàn. An ninh mạng đã lâu đã là một mục tiêu trung tâm cho công ty, đến mức sản phẩm bảo vệ mạng của chúng tôi đã phát triển để trở thành một bộ công cụ bảo mật 360° toàn diện. TSplus Advanced Security là một phòng thủ đơn giản và phải chi phí được phát triển để bảo vệ hệ thống của bạn khỏi phần mềm độc hại và ransomware, tấn công brute-force, lạm dụng thông tin đăng nhập... Và ngẫu nhiên nó chặn hàng triệu địa chỉ IP độc hại đã biết. Nó cũng học từ hành vi người dùng tiêu chuẩn và bạn có thể thêm vào danh sách trắng các địa chỉ quan trọng khi cần.

Vị trí nào cho máy chủ cơ sở dữ liệu trong mạng

Nếu máy chủ web của bạn cần truy cập vào máy chủ cơ sở dữ liệu, bạn sẽ cần xem xét nơi đặt cơ sở dữ liệu của mình. Nơi an toàn nhất để đặt máy chủ cơ sở dữ liệu là tạo một mạng riêng vật lý khác gọi là vùng an toàn và đặt máy chủ cơ sở dữ liệu ở đó.

Khu vực an toàn cũng là mạng riêng vật lý được kết nối trực tiếp với tường lửa. Khu vực an toàn theo định nghĩa là nơi an toàn nhất trên mạng. Sự truy cập duy nhất đến hoặc từ khu vực an toàn sẽ là kết nối cơ sở dữ liệu từ DMZ (và LAN nếu cần).

Email - Một Ngoại lệ đối với Quy tắc Mạng

Vấn đề lớn nhất mà các kỹ sư mạng phải đối mặt có thể thực sự là nơi đặt máy chủ email. Nó yêu cầu kết nối SMTP với internet, nhưng cũng yêu cầu truy cập tên miền từ mạng LAN. Nếu bạn đặt máy chủ này trong vùng DMZ, lưu lượng tên miền sẽ đe dọa tính toàn vẹn của DMZ, khiến nó chỉ đơn giản là một phần mở rộng của LAN. Do đó, theo quan điểm của chúng tôi, nơi duy nhất bạn có thể đặt máy chủ email là trên mạng LAN và cho phép lưu lượng SMTP vào máy chủ này.

Tuy nhiên, chúng tôi khuyến nghị không cho phép bất kỳ hình thức truy cập HTTP nào vào máy chủ này. Nếu người dùng của bạn cần truy cập vào email từ bên ngoài mạng, sẽ an toàn hơn nếu xem xét một giải pháp VPN nào đó. Điều này sẽ đòi hỏi tường lửa xử lý các kết nối VPN. Thực sự, một máy chủ VPN dựa trên LAN sẽ cho phép lưu lượng VPN vào mạng LAN trước khi được xác thực, điều này không bao giờ là điều tốt.

Kết luận: Thiết lập LAN, DMZ và Mạng

Về FTP, bất kể lựa chọn nào bạn chọn, quan trọng là mỗi lựa chọn được lên kế hoạch cẩn thận và suy nghĩ kỹ lưỡng. Tuy nhiên, cũng quan trọng là kết quả cuối cùng hợp lý và hoạt động cùng nhau một cách an toàn nhất có thể. Dù là Bảo mật Tiên tiến, Truy cập từ xa hoặc bất kỳ sản phẩm nào khác, các sản phẩm TSplus đều có bảo mật trong gen của chúng. Bạn có thể mua hoặc thử nghiệm bất kỳ sản phẩm nào từ trang sản phẩm của chúng tôi.

Khám phá những tính năng mà TSplus Advanced Security mang lại. Để tải xuống, nhấn vào ở đây . Cài đặt chỉ mất vài khoảnh khắc và phần mềm của chúng tôi có sẵn miễn phí trong 15 ngày dưới dạng bản dùng thử.

Bài viết liên quan

back to top of the page icon