問：我需要將web服務器放入DMZ中，服務器需要訪問放在內(nèi)網(wǎng)的網(wǎng)絡附加存儲（NAS）盒中的數(shù)據(jù)。為了建立一個安全的DMZ web服務器，有沒有一些最佳實踐？

答：這是個好問題。我們經(jīng)常碰到這樣的問題。一般地，你可能希望將面向網(wǎng)絡的系統(tǒng)與支持組件分離開來，放在它們專有的空間（如，從內(nèi)網(wǎng)中分開）。

將這個最初的想法擴展開來，確保DMZ  Web服務器具有盡可能好的安全級別，考慮將NAS設備放置在其專有的網(wǎng)段上。這樣的話，如果Web服務器被破解了，附帶的損失也會降到最小。我說的附帶損失是指緩解攻擊者進入NAS盒和其他網(wǎng)絡的風險。這樣你也可以設置戰(zhàn)略性的阻塞點（choke point）來監(jiān)測惡意活動。這種部署的例子就是設置一個內(nèi)聯(lián)Web應用程序防火墻（WAF）或入侵防御系統(tǒng)（IPS），以保護下游環(huán)節(jié)（downstream link）（如在DMZ界面的鏈接）。

從聯(lián)網(wǎng)的角度來看，我會實施合適的入站（inbound）訪問控制列表（ACL），并且盡可能的限制NAS。例如，利用內(nèi)置防火墻安全限制，可以防止從不信任的界面來的流量（如Internet/DMZ）流向信任的界面（如，內(nèi)網(wǎng)）。此外，訪問面向網(wǎng)絡的 DMZ應該限制在合適的應用程序端口（一般的，TCP端口80和TCP端口443）?？紤]執(zhí)行一個嚴格的outbound ACL以控制從內(nèi)聯(lián)網(wǎng)到DMZ的流量。

所有其他傳統(tǒng)的服務器加強規(guī)則應用，特別是在DMZ swing上。如果你主要是在NAS上處理靜態(tài)的內(nèi)容，考慮一些類型的文件整合監(jiān)測系統(tǒng)。Tripwire公司提供了一個商業(yè)產(chǎn)品，AIDE開源工具，你可以在SourceForge中找到。

【編輯推薦】

1. 搜索結果將黑客帶入四層夢境之如何設計安全的四級DMZ
2. 選用單防火墻DMZ還是雙防火墻DMZ