问：我需要将web服务器放入DMZ中，服务器需要访问放在内网的网络附加存储（NAS）盒中的数据。为了建立一个安全的DMZ web服务器，有没有一些最佳实践？

　　答：这是个好问题。我们经常碰到这样的问题。一般地，你可能希望将面向网络的系统与支持组件分离开来，放在它们专有的空间（如，从内网中分开）。

　　将这个最初的想法扩展开来，确保DMZ  Web服务器具有尽可能好的安全级别，考虑将NAS设备放置在其专有的网段上。这样的话，如果Web服务器被破解了，附带的损失也会降到最小。我说的附带损失是指缓解攻击者进入NAS盒和其他网络的风险。这样你也可以设置战略性的阻塞点（choke point）来监测恶意活动。这种部署的例子就是设置一个内联Web应用程序防火墙（WAF）或入侵防御系统（IPS），以保护下游环节（downstream link）（如在DMZ界面的链接）。

　　从联网的角度来看，我会实施合适的入站（inbound）访问控制列表（ACL），并且尽可能的限制NAS。例如，利用内置防火墙安全限制，可以防止从不信任的界面来的流量（如Internet/DMZ）流向信任的界面（如，内网）。此外，访问面向网络的 DMZ应该限制在合适的应用程序端口（一般的，TCP端口80和TCP端口443）。考虑执行一个严格的outbound ACL以控制从内联网到DMZ的流量。

　　所有其他传统的服务器加强规则应用，特别是在DMZ swing上。如果你主要是在NAS上处理静态的内容，考虑一些类型的文件整合监测系统。Tripwire公司提供了一个商业产品，AIDE开源工具，你可以在SourceForge中找到。