Как обезопасить веб-сервер в корпоративной сети?

Есть корпоративная сеть. 150 компов, сервера (все на ESXi), в том числе веб-сервер nginx на Debian, на котором интернет магазин. Все находится в одной подсети. В качестве фаерволла стоит Kerio. Debian смотрит в интернет через отдельного провайдера.

Стоит задача максимально обезопасить интернет магазин от всякого рода атак, и при этом сделать так, что бы атаки на сервер не касались остальной сети предприятия.

Понимаю что вопрос сложный, но хотелось бы услышать общие принципы. Может быть отдельный шлюз для сервера сделать или еще что... Как у вас это сделано и т.п.
  • Вопрос задан
  • 1033 просмотра
Пригласить эксперта
Ответы на вопрос 3
Все сервера, предоставляющие сервисы для недоверенных сетей (в т.ч. Интернета) должны размещаться в отдельном сегменте DMZ, при этом не должно быть разрешено инициирование соединений из DMZ внутрь локальной сети - только из локальной сети в DMZ (для управления).
Ответ написан
leahch
@leahch Куратор тега Linux
Я мастер на все руки, я козлик Элек Мэк :-)
Я на каджом сервере ставлю firehol.
Конфиг примерно такой, защита от всякоразных флудов, установка политики дропанья пакетов, разрешения на подключение только по ssh http https icmp ping.
На выход (с самого сервера), мы можем только попингать интернет, никакие клиенты с сервера никуда не убегут.
version 5
interface any world
       policy DROP
       protection strong
       server "ssh http https icmp ping" accept
       client "icmp dns ping"  accept
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Разместите на нормальном хостинге и забудьте об этой проблеме.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы