问:我需要在DMZ网络中创建五个服务器。但是如果其中受到网络外部的攻击,其它的服务器也可能自动受到攻击吗?如果其中之一受到攻击,如何保护其它的服务器? 答:你问的是个很普遍的问题,而且是为什么安全专家信奉“深度防御”哲学的一个很好的例子。 你很敏锐地指出了DMZ中的单个服务器受到攻击把DMZ中的其它设备都置于险地。尽管如此,有一点很重要,就是指出一个系统受到攻击,其它系统不会必定自动受到攻击。
当攻击者获得单个服务器的访问权限时,这套系统确实提供了你的网络的一个可能的立足点。依靠你的DMZ服务器之间的可信赖的关系,黑客可以利用这个里点获得其它系统的访问权……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我需要在DMZ网络中创建五个服务器。但是如果其中受到网络外部的攻击,其它的服务器也可能自动受到攻击吗?如果其中之一受到攻击,如何保护其它的服务器?
答:你问的是个很普遍的问题,而且是为什么安全专家信奉“深度防御”哲学的一个很好的例子。
你很敏锐地指出了DMZ中的单个服务器受到攻击把DMZ中的其它设备都置于险地。尽管如此,有一点很重要,就是指出一个系统受到攻击,其它系统不会必定自动受到攻击。当攻击者获得单个服务器的访问权限时,这套系统确实提供了你的网络的一个可能的立足点。依靠你的DMZ服务器之间的可信赖的关系,黑客可以利用这个里点获得其它系统的访问权。
企业应该如何防御这种风险呢?通过使用安全控件而不是分割DMZ的网络防火墙!例如,为DMZ中的每个服务器配置主机防火墙软件,限制入站流量,只允许满足商业需求的必需流量。这些规则甚至应该应用到配置在DMZ中的外部服务器上。同样,采用所有其它的系统加固的最佳实践:确保系统安装了合适的补丁、执行良好的帐户管理以及在网络中配置杀毒软件和入侵检测软件。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
迪普科技为杭州地铁2号线铸造安全屏障
为了保障市民届时安全出行,杭州轨道交通集团与杭州迪普科技有限公司展开深度合作,在基础环网上的各个业务系统之间“铸造安全屏障”。
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
防火墙故障最佳实践:冗余和监控
为了妥善管理不可预测的防火墙故障问题,企业应该做哪些准备工作,才能最大程度地降低防火墙故障导致的损失?