配置外部防火墙答应与服务器的 流入的连接位于DMZ,但通常过滤器或限制没有被运用于流出的数据 流,于DMZ发起的非凡数据流 。因为我们及早在本文讨论,这 能潜在实现一名攻击者的活动为二个原因: 第一个,当其中 一台DMZ主机被攻陷,其他DMZ主机显示; 第二个,攻击者能 轻易地利用向外的连接 。
因为DMZ服 务器不需要彼此谈,推荐是确定他们查出在L2 。而连接到二 个防火墙的端口将被定义如混乱,服务器端口将被定义作为PVLANs 隔离的端口 。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此 。
将用于VACLs控制于DMZ发 起的数据流 。这将防止一名攻击者能打开非法向外的连接 。记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的,但他们也将需要一些其它服务,例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现 。如此,ACL应该答应 DMZ服务器需要的所有服务 。
QQRead.com 推出数据恢复指南教程 数据恢复指南教程数据恢复故障解析常用数据恢复方案硬盘数据恢复教程数据保护方法数据恢复软件专业数据恢复服务指南前言 其中一个要害要素到建立一个成功的网络安全设计是识别和强制执行 一个适当信任模式 。适当信任模式定义了谁需要谈与谁并且 什么样的数据流需要被交换; 应该否决其他数据流 。一旦适当信任模式被识别,然后安全设计员应该决定如何强制执行 型号 。因为重要资源是全局可用的并且网络攻击的新的表演 变,网络安全基础设施倾向于变得更加复杂,并且更多产品是可用 的 。防火墙、路由器、LAN交换机、入侵检测系统、AAA服务 器和VPN是可帮助强制执行型号的某些技术和产品 。当然,每 一个这些产品和技术在整体安全实施之内扮演一个特定的角色,并 且了解设计员是重要的这些元素如何可以配置 。
使用的组件
本文不限于特定软件和硬件版本 。
背景信息
识别和强制执行一个适当信任模式似乎是一项非常基 本任务,但在几年支持的安全实施之后,我们的经验表明安全事件 经常与恶劣的安全设计有关 。通常这些设计差是不强制执行 一个适当信任模式的一个直接后果,有时因为什么是公正必要的没 有了解,其他次正因为充分地没有了解也没有误用介入的技术 。
本文具体解释如何二个功能可用在我 们的Catalyst交换机,专用VLAN (PVLANs)并且VLAN 访问控制表 (VACLs),在两可帮助保证适当信任模型企业并且服务提供商环境 。
强制执行适 当信任模式的重要性
不强制执行适当信任模型的一个立即后果是整体安全实施变得较不 对免疫有恶意的活动 。非敏感区域(DMZs)普通是被实施没有 强制执行正确的制度因而实现一个潜在入侵者的活动 。此部 分分析DMZs经常如何是被实施和设计差的后果 。我们以后将 解释如何缓和,或者在最佳的案件避免,这些后果 。
通常,DMZ服务器只应该处理流入请 求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段,例如数据库服务器 。同时,DMZ服务器不应该彼此谈 或首次与外界的任何连接 。这在一个简单信任型号清楚地定 义了必要的数据流; 然而,我们经常看型号不足够被强制执 行的这种 。
设计员通常倾向于使用 一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之 间 。例如,所有服务器位于普通的VLAN 。因为什么都 在同样VLAN之内不控制数据流,假如其中一个服务器被攻陷然后在 同一个分段可以使用同一个服务器来源攻击对任何服务器和主机 。这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵 者的活动 。
推荐阅读
- 租赁房动迁款归谁所有
- 人固有一死或重于泰山或轻于鸿毛出自司马迁的什么 人固有一死或重于泰山或轻于鸿毛出自什么
- 手机快播用私有云收集影片
- 巩义特产
- 张小斐和冯巩什么关系
- 水蛭人工养殖法
- b类地址标准子网掩码 b类私有地址的子网掩码
- 冯国璋跟冯巩什么关系 冯国璋和冯巩什么关系
- 私有地址是什么意思 私有地址是什么意思怎么判断
- 电器维修怎么赚钱