Назад | Перейти на главную страницу

Как будет выглядеть простая DMZ для сценария сервера базы данных и (веб-сервер + средний уровень)?

У меня два Linux сервера:

  1. Первый содержит базу данных Oracle 11G, в которую входит Oracle HTTP Server.
  2. Второй содержит средний уровень Java плюс веб-сервер Apache и Apache Tomcat.

Кто-то сказал мне, что я должен подумать о DMZ. Цель - защитить базу данных от внешних пользователей. Однако мы можем доверять внутренним пользователям. Внутренним пользователям по-прежнему потребуется доступ ко всем аспектам сервера базы данных.

Может ли кто-нибудь помочь мне понять, как будет выглядеть простая DMZ (для малого бизнеса) в этой ситуации? Это реализовано аппаратно или программно или и то, и другое?

Ничего не зная о DMZ, я пытаюсь понять, что мне нужно было бы проинструктировать моего хостинг-провайдера для внедрения DMZ (при условии, что нужно решить много информации, а не просто сказать им: «дайте мне DMZ "). Что мне нужно им сказать или какие решения мне нужно принять, прежде чем обращаться к ним?

Есть ли причина, по которой кто-то может не захотеть или не будет нуждаться во внедрении DMZ в сценарии выше? Или принято считать, что всегда быть хорошей идеей?

Задача DMZ - установить периметр безопасности, через который разрешается проходить только известному желаемому трафику. Это можно сделать с помощью аппаратного межсетевого экрана (Cisco ASA и т. Д.) Или программного брандмауэра (Linux iptables, OpenBSD pfsense и т. Д.). Дело в том, чтобы иметь механизм для арбитража трафика и принятия решений о том, какие потоки подходят.

Физически подключение DMZ к вашему Интернет-соединению может выглядеть примерно так:

  {  the internet }----[ Firewall Device ]-----{  LAN  }
                                |
                                |
                             { DMZ }

Обычно одна физическая сетевая карта на устройстве межсетевого экрана предназначена для подключения к каждому из этих сегментов (Интернет, DMZ и LAN). Это можно сделать с помощью VLAN, чтобы использовать меньше физических сетевых адаптеров, но тогда вы начинаете смешивать различные проблемы безопасности в одном и том же физическом носителе (и этого обычно следует избегать, если вы не получаете какое-то конкретное преимущество, делая это).

Предполагая, что пользователи приложения будут получать доступ к веб-серверу Apache через TCP-порт 80 «второго сервера» (который я буду называть «веб-сервером»), чтобы использовать приложение, я бы увидел, что компьютер веб-сервера сидит в Сегмент DMZ с доступом, контролируемым устройством межсетевого экрана, создающим DMZ, чтобы:

  • Разрешить запросы от произвольных исходных IP-адресов и портов в Интернете к веб-серверу (TCP-порт 80)
  • Разрешить запросы от произвольных портов TCP на веб-сервере к серверу базы данных Oracle через порт Oracle TNS (обычно TCP-порт 1521)
  • Разрешить запросы от произвольных исходных IP-адресов и портов в локальной сети к SSH-порту на веб-сервере (для администрирования)

(Предполагая, что вы используете брандмауэр с отслеживанием состояния для арбитража доступа к DMZ, вам не нужно специально создавать правила для ответов на запросы выше.)

Это очень упрощенный взгляд, но он передает идею. Вы, вероятно, захотите, чтобы веб-сервер делал DNS-запросы, и вы можете разрешить ему доступ к серверу HTTP или HTTPS, с которого можно загружать обновления ОС. Я настоятельно рекомендую против разрешая веб-серверу произвольный исходящий доступ к Интернету (поскольку многие эксплойты полагаются на то, что используемый компьютер может загрузить полезную нагрузку "второго этапа"). Если вам не нужен кто-либо в Интернете для администрирования веб-сервера, не разрешайте входящий SSH из Интернета. (Если вам все же нужно администрировать его извне, лучше подключиться к VPN в сегменте локальной сети и получить доступ к веб-серверу из локальной сети.)

Демилитаризованная зона или DMZ - это сегмент сети, отделенный от других сетей. Многие организации используют DMZ для отделения своих локальных сетей (LAN) от Интернета. Это обеспечивает дополнительную безопасность между их корпоративной сетью и общедоступным Интернетом.

Обычно элементы, помещаемые в демилитаризованную зону, являются общедоступными серверами. Например, если организация поддерживает свой веб-сайт на сервере, этот веб-сервер может быть размещен в DMZ. Таким образом, если машина когда-либо будет взломана, остальная часть сети компании не окажется в опасности.

При подключении локальной сети к Интернету маршрутизатор обеспечивает физическое подключение к общедоступному Интернету, а брандмауэр обеспечивает шлюз для предотвращения проникновения вредоносных данных в сеть. Один порт на брандмауэре часто подключается к корпоративной сети, используя внутренний адрес в этой сети, что позволяет трафику, отправляемому отдельными лицами внутри компании, достигать Интернета. Другой порт обычно настраивается с публичным адресом, который позволит интернет-трафику достигать организации. Эти два порта позволяют входящим и исходящим данным достигать организации в Интернете.