【TechTarget中国原创】问:可以保护DMZ网络应用服务器和Web服务器的机制有哪些?处于这样的目的,可以使用什么软件产品?
答:你的问题很重要。我是“深度防护”概念的忠实信徒。这种原则支持安全分层的方法,这种方法是用许多独立的安全控件,防护任何一层的失败带来的问题。你所问的,从本质上来说,就是“为了弥补网络防火墙,我需要设置那一层的安全措施?”
在建立安全的DMZ的时候,有几种值得思考的不同的技术。通常使用的几种有:
- 服务器杀毒软件。杀毒软件非常常见,现在已经不需要考虑,但是它仍然值得提出来。确定所有的服务器上都有活跃的杀毒软件,并且每天都更新signature files。杀毒软件应该由中央管理,这样在数据中心,就可以完整地看看杀毒环境。
- 入侵检测/防护系统。一个良好的IDS/IPS可以监控网络上恶意行为的迹象。在任何层面防护中,它都是重要组件。
- 文件完整性监控软件。绊网(Tripwire),著名的文件文正性监控包,例如,监控文件系统的变化,并把这些变化和企业的安全策略相比较。它可以提醒管理员未经授权的文件变更,这种变更可能是恶意行为的迹象。
- 漏洞扫描系统。它是在DMZ中的网络上的“安全巡警”,巡查偶尔没有关闭的大门。漏洞扫描器测试服务期的安全配置,并对潜在漏洞发出警告。
这些是有助于深度防护状态的安全控件的几个例子。还有很多种的可能,你的混合选择取决于你的安全要求和可用资源(财政和人力)。