Сайт спільноти directum

Демілітаризована зона (англ. Demilitarized Zone, DMZ) - це конфігурація мережі, спрямована на посилення безпеки мережі організації, в якій відкриті для загального доступу сервера знаходяться в окремому ізольованому сегменті мережі. Дана концепція забезпечує відсутність контактів між відкритими для загального доступу серверами і іншими сегментами мережі в разі злому сервера.

Як правило, в ізольованому сегменті мережі розташовується сервер-ретранслятор, що забезпечує перенаправлення запитів з зовнішньої мережі в мережу організації. Прикладами таких серверів можуть служити ViPNet Coordinator і зворотний проксі-сервер (Reverse proxy).

Зворотний проксі-сервер (Reverse proxy)

Як Reverse proxy може бути використаний будь-який веб-сервер (NGINX, Apache, IIS). Як правило, для продуктів DIRECTUM використовується Reverse proxy на базі IIS.

Для початку створюємо веб-сайт, який буде приймати запити з зовнішньої мережі. Для нього необхідно вказати відповідні прив'язки (ім'я хоста і порт). Так як всі веб-рішення компанії DIRECTUM припускають роботу з важливою інформацією, необхідно налаштувати сайт на використання HTTPS-з'єднання. Зазвичай для HTTPS-з'єднання використовується 443 порт. Відповідно, даний порт необхідно вказати в налаштуваннях DMZ-брандмауера.
Наступним кроком додаємо правило перенаправлення за допомогою модуля URL Rewrite:

Сайт спільноти directum

Якщо настройка здійснюється вперше, IIS повідомить про необхідність включення Reverse proxy-функціональності і попередить, що Reverse proxy може як посилити захист периметра організації, так і, навпаки, знизити безпеку, надавши доступ внутрішніх сервісів організації з мережі Internet.

Сайт спільноти directum

Після включення Reverse proxy-функціональності необхідно задати правила перенаправлення:

Сайт спільноти directum

Сервер веб-додатки DIRECTUM розташовується у внутрішній мережі організації і має один інтерфейс: 192.168.1.2/255.255.255.0.

Брандмауери мережі DMZ і внутрішньої мережі налаштовуються на дозвіл вхідних і вихідних з'єднань по порту 443 протоколу HTTP.

Для забезпечення додаткового захисту рекомендується обмежити доступ до веб-сервера DIRECTUM з внутрішньої мережі і дозволити мережеві з'єднання тільки з необхідними службами (СУБД, сервер сеансів, Workflow і т.д.). Для цього слід налаштувати правила брандмауера веб-сервера DIRECTUM для вхідних і вихідних з'єднань і дозволити з'єднання за наступними портам:

  • протокол TCP / IP;
  • для зв'язку з SQL сервером - за замовчуванням порт 1433;
  • для зв'язку з сервером зі встановленою службою Сервер сеансів - за замовчуванням порт 32300;
  • для зв'язку з сервером зі встановленою службою WorkFlow - за замовчуванням порт 32310;
  • для роботи сервера веб-доступу за протоколом HTTPS - порт 443;
  • протокол UDP / IP: для розпізнавання імен NetBIOS - за замовчуванням порти 137-139.

Вказаний мінімальний набір портів і протоколів зв'язку. При використанні в продуктивної середовищі можливе розширення дозволяло. Наприклад, для роботи служб файлових сховищ знадобиться додатково відкрити порти 445 і 32320 по протоколу TCP.

замість висновку

У цій невеликій статті були розглянуті практичні кроки, за допомогою яких можна підвищити рівень безпеки мережі організації. Для того щоб ознайомитися з іншими засобами забезпечення безпеки стежте за тегом безпеку.