问:可以保护DMZ网络应用服务器和Web服务器的机制有哪些?处于这样的目的,可以使用什么软件产品? 答:你的问题很重要。我是“深度防护”概念的忠实信徒。这种原则支持安全分层的方法,这种方法是用许多独立的安全控件,防护任何一层的失败带来的问题。你所问的,从本质上来说,就是“为了弥补网络防火墙,我需要设置那一层的安全措施?” 在建立安全的DMZ的时候,有几种值得思考的不同的技术。
通常使用的几种有: 服务器杀毒软件。杀毒软件非常常见,现在已经不需要考虑,但是它仍然值得提出来。确定所有的服务器上都有活跃的杀毒软件,并且每天都更新signature files。杀毒软件应该由中央管理,这样在数据……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:可以保护DMZ网络应用服务器和Web服务器的机制有哪些?处于这样的目的,可以使用什么软件产品?
答:你的问题很重要。我是“深度防护”概念的忠实信徒。这种原则支持安全分层的方法,这种方法是用许多独立的安全控件,防护任何一层的失败带来的问题。你所问的,从本质上来说,就是“为了弥补网络防火墙,我需要设置那一层的安全措施?”
在建立安全的DMZ的时候,有几种值得思考的不同的技术。通常使用的几种有:
- 服务器杀毒软件。杀毒软件非常常见,现在已经不需要考虑,但是它仍然值得提出来。确定所有的服务器上都有活跃的杀毒软件,并且每天都更新signature files。杀毒软件应该由中央管理,这样在数据中心,就可以完整地看看杀毒环境。
- 入侵检测/防护系统。一个良好的IDS/IPS可以监控网络上恶意行为的迹象。在任何层面防护中,它都是重要组件。
- 文件完整性监控软件。绊网(Tripwire),著名的文件文正性监控包,例如,监控文件系统的变化,并把这些变化和企业的安全策略相比较。它可以提醒管理员未经授权的文件变更,这种变更可能是恶意行为的迹象。
- 漏洞扫描系统。它是在DMZ中的网络上的“安全巡警”,巡查偶尔没有关闭的大门。漏洞扫描器测试服务期的安全配置,并对潜在漏洞发出警告。
这些是有助于深度防护状态的安全控件的几个例子。还有很多种的可能,你的混合选择取决于你的安全要求和可用资源(财政和人力)。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
手把手教你实现有效的漏洞评估
要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。
-
预防和缓解路由器安全问题 总共分三步
路由器安全问题正越来越多地受到业内关注,这对小型和大型企业的安全性都构成威胁,企业不能再对这些核心网络系统的安全性掉以轻心。
-
掌握这些特性 更好地选择漏洞管理工具
漏洞管理产品是如何工作的?在评估厂商漏洞管理产品时,企业信息安全专业人员该着重看哪些要素?
-
多态防御会是网络攻击防御的未来吗?
多态恶意软件会适应当前环境,逃避安全软件检测,对目标计算机进行攻击。那么我们能利用这种相同的行为用于防御措施吗?