Как обезопасить веб-сервер в корпоративной сети?

Question

[Иван Корешков]

Есть корпоративная сеть. 150 компов, сервера (все на ESXi), в том числе веб-сервер nginx на Debian, на котором интернет магазин. Все находится в одной подсети. В качестве фаерволла стоит Kerio. Debian смотрит в интернет через отдельного провайдера.

Стоит задача максимально обезопасить интернет магазин от всякого рода атак, и при этом сделать так, что бы атаки на сервер не касались остальной сети предприятия.

Понимаю что вопрос сложный, но хотелось бы услышать общие принципы. Может быть отдельный шлюз для сервера сделать или еще что... Как у вас это сделано и т.п.

Answer 1

[Андрей]

Все сервера, предоставляющие сервисы для недоверенных сетей (в т.ч. Интернета) должны размещаться в отдельном сегменте DMZ, при этом не должно быть разрешено инициирование соединений из DMZ внутрь локальной сети - только из локальной сети в DMZ (для управления).

Answer 2

[Алексей Черемисин]

Я на каджом сервере ставлю firehol.
Конфиг примерно такой, защита от всякоразных флудов, установка политики дропанья пакетов, разрешения на подключение только по ssh http https icmp ping.
На выход (с самого сервера), мы можем только попингать интернет, никакие клиенты с сервера никуда не убегут.

version 5
interface any world
       policy DROP
       protection strong
       server "ssh http https icmp ping" accept
       client "icmp dns ping"  accept

Answer 3

[xmoonlight]

Разместите на нормальном хостинге и забудьте об этой проблеме.

Comments

[Антон]

тут сразу возбуждается вопрос об нормальном хостинге...)) и километр срача автоматом.. я вот до сих пор не могу для себя найти нормальный хостинг, хотя и к текущим хостингам особых претензии нет - но они вот как то не дотягивают до понятия "нормального".. везде есть мелкие шероховатости...
П.С.: но ответ про хостинг поддержу - ибо надо разделять всё на зоны ответственности и пользоваться соответствующими услугами.
у нас тоже вроде была корпоративная сеть с 20 филиалами и всем прочим, ноша нелегкая - но вот сетевую инфраструктуру отдали на аутсорс, в другую контору принтера и иже с ними, айпителефонию тоже на аутсорс - у себя тока 1С оставили и стратегическое админство - и красота)

[Антон]

кстати, забыл про интернет-магазин то)) его тоже ведь отдали на поддержку спецам за 5 штук в месяц, и головняки долой) все косяки теперь их..)

[xmoonlight]

Антон: на nic.ru - я не видел проблем...