Какой самый безопасный метод переадресации портов?

1

Итак, я не очень разбираюсь в работе с сетями, но я пытаюсь создать свой собственный веб-сервер, чтобы иметь возможность заниматься разработкой сайтов. Все шло хорошо, пока я не узнал, что мне нужно «переправить несколько портов». Проблема заключается в том, что в моей сети есть несколько компьютеров с конфиденциальной финансовой информацией, которую я хочу защитить, насколько это возможно. Каков будет лучший способ пойти по этому поводу? Должен ли я попытаться настроить две отдельные домашние сети? Если так, как бы я это сделал?

user284623
источник

Ответы:

1

Способ думать об этом - доверие. Прямо сейчас вы доверяете всему во внутренней сети и ничему внешнему. Это потому, что вы уверены, что ваши внутренние сетевые устройства находятся под вашим контролем, и знаете, что вы не управляете ничем внешним. Все внешнее не заслуживает доверия (это не слово, но обычно используется)

Любое взаимодействие между внутренней и внешней сетями приводит к снижению доверия к внутренней сети. Потому что даже когда вы просматриваете веб-сервер во внешней сети с помощью чего-то во внутренней сети, вы обнаруживаете это - возможно, что-то вредоносное может использовать уязвимость вашего браузера, например.

Этот тип риска смягчается тщательным контролем исходящих соединений. В корпоративной среде вы можете использовать прокси-сервер для веб-трафика, который может сканировать на наличие вредоносных действий. Для электронной почты вы бы использовали внутреннее реле. Оба из них помогают избежать прямого контакта между доверенными устройствами и ненадежными устройствами.

Когда вы переадресовываете порт, вы разрешаете прямой доступ к вашим доверенным устройствам из ненадежного источника. Это резко снижает доверие к этому устройству до такой степени, что оно больше не должно считаться надежным: полу доверенным.

Если этот компьютер находится в вашей внутренней сети, у вас теперь есть доверенные устройства, способные напрямую взаимодействовать с полудоверенным устройством и наоборот, и, таким образом, снижается их сетевое доверие.

Чтобы смягчить это, мы помещаем полудоверенные устройства в их собственную сеть и тщательно контролируем доступ между полудоверенной сетью (называемой DMZ) и внутренней сетью.

В идеале это может быть связано с использованием брандмауэра, который не позволяет инициировать подключения от DMZ к внутренней сети. Во многих случаях это невозможно, и некоторый доступ должен быть разрешен.

Доступ к DMZ из внутренней сети должен контролироваться аналогичным образом и быть сведен к минимуму с помощью правил брандмауэра.

Paul
источник
0

При публикации веб-сервера через Интернет рекомендуется размещать этот сервер в демилитаризованной зоне. Затем все остальные серверы остаются в зоне MZ.

Если вы не знаете, что такое DMZ, вот хорошая отправная точка ,

Вот тоже хорошая ссылка это показывает предупреждение об архитектуре, кажется, у вас есть.

Так что, в принципе, да, вам нужно настроить две отдельные сети. В случае домашней сети я не буду просить вас реализовать два межсетевых экрана (внешний и внутренний). Вы можете достичь того же с помощью одного домашнего маршрутизатора / брандмауэра (в зависимости от модели и характеристик). В основном две сети, маршрутизируемые и фильтруемые маршрутизатором / брандмауэром. Обратите внимание, что некоторые домашние маршрутизаторы обеспечивают настройку DMZ.

how would I do this? зависит от вашей сетевой архитектуры и модели вашего маршрутизатора.

user2196728
источник
Благодарю за ваш ответ. Поэтому я заметил, что в демилитаризованной зоне может быть только один компьютер, но я настраиваю веб-сервер в виртуальной машине на моем компьютере. Я просто помещаю виртуальную машину в DMZ или весь компьютер?
user284623
Я бы сказал, только ВМ ...
user2196728