問(wèn)：我需要將web服務(wù)器放入DMZ中，服務(wù)器需要訪問(wèn)放在內(nèi)網(wǎng)的網(wǎng)絡(luò)附加存儲(chǔ)（NAS）盒中的數(shù)據(jù)。為了建立一個(gè)安全的DMZ web服務(wù)器，有沒(méi)有一些最佳實(shí)踐？

答：這是個(gè)好問(wèn)題。我們經(jīng)常碰到這樣的問(wèn)題。一般地，你可能希望將面向網(wǎng)絡(luò)的系統(tǒng)與支持組件分離開(kāi)來(lái)，放在它們專有的空間（如，從內(nèi)網(wǎng)中分開(kāi)）。

將這個(gè)最初的想法擴(kuò)展開(kāi)來(lái)，確保DMZ  Web服務(wù)器具有盡可能好的安全級(jí)別，考慮將NAS設(shè)備放置在其專有的網(wǎng)段上。這樣的話，如果Web服務(wù)器被破解了，附帶的損失也會(huì)降到最小。我說(shuō)的附帶損失是指緩解攻擊者進(jìn)入NAS盒和其他網(wǎng)絡(luò)的風(fēng)險(xiǎn)。這樣你也可以設(shè)置戰(zhàn)略性的阻塞點(diǎn)（choke point）來(lái)監(jiān)測(cè)惡意活動(dòng)。這種部署的例子就是設(shè)置一個(gè)內(nèi)聯(lián)Web應(yīng)用程序防火墻（WAF）或入侵防御系統(tǒng)（IPS），以保護(hù)下游環(huán)節(jié)（downstream link）（如在DMZ界面的鏈接）。

從聯(lián)網(wǎng)的角度來(lái)看，我會(huì)實(shí)施合適的入站（inbound）訪問(wèn)控制列表（ACL），并且盡可能的限制NAS。例如，利用內(nèi)置防火墻安全限制，可以防止從不信任的界面來(lái)的流量（如Internet/DMZ）流向信任的界面（如，內(nèi)網(wǎng)）。此外，訪問(wèn)面向網(wǎng)絡(luò)的 DMZ應(yīng)該限制在合適的應(yīng)用程序端口（一般的，TCP端口80和TCP端口443）。考慮執(zhí)行一個(gè)嚴(yán)格的outbound ACL以控制從內(nèi)聯(lián)網(wǎng)到DMZ的流量。

所有其他傳統(tǒng)的服務(wù)器加強(qiáng)規(guī)則應(yīng)用，特別是在DMZ swing上。如果你主要是在NAS上處理靜態(tài)的內(nèi)容，考慮一些類(lèi)型的文件整合監(jiān)測(cè)系統(tǒng)。Tripwire公司提供了一個(gè)商業(yè)產(chǎn)品，AIDE開(kāi)源工具，你可以在SourceForge中找到。

【編輯推薦】

1. 搜索結(jié)果將黑客帶入四層夢(mèng)境之如何設(shè)計(jì)安全的四級(jí)DMZ
2. 選用單防火墻DMZ還是雙防火墻DMZ