Итак, я не очень разбираюсь в работе с сетями, но я пытаюсь создать свой собственный веб-сервер, чтобы иметь возможность заниматься разработкой веб-сайтов. Все шло хорошо, пока я не узнал, что мне нужно "переправить несколько портов". Проблема в том, что в моей сети есть несколько компьютеров с конфиденциальной финансовой информацией, которую я хочу защитить как можно лучше. Каков будет лучший способ пойти по этому поводу? Должен ли я попытаться настроить две отдельные домашние сети? Если так, как бы я это сделал?
2 ответа
Способ думать об этом - доверие. Прямо сейчас вы доверяете всему во внутренней сети и ничему внешнему. Это потому, что вы уверены, что ваши внутренние сетевые устройства находятся под вашим контролем, и знаете, что вы не управляете ничем внешним. Все внешнее не заслуживает доверия (это не слово, но обычно используется)
Любое взаимодействие между внутренней и внешней сетями приводит к снижению доверия к внутренней сети. Потому что даже когда вы просматриваете веб-сервер во внешней сети с помощью чего-то во внутренней сети, вы обнаруживаете это - возможно, что-то вредоносное может использовать уязвимость в вашем браузере, например.
Этот тип риска смягчается тщательным контролем исходящих соединений. В корпоративной среде вы можете использовать прокси-сервер для веб-трафика, который может сканировать на наличие вредоносных действий. Для электронной почты вы бы использовали внутреннее реле. Оба из них помогают избежать прямого контакта между доверенными устройствами и ненадежными устройствами.
Когда вы переадресовываете порт, вы разрешаете прямой доступ к вашим доверенным устройствам из ненадежного источника. Это значительно снижает доверие к этому устройству до такой степени, что оно больше не должно считаться надежным: полу доверенным.
Если этот компьютер находится в вашей внутренней сети, у вас теперь есть доверенные устройства, способные напрямую взаимодействовать с полудоверенным устройством и наоборот, и, таким образом, снижается их сетевое доверие.
Чтобы смягчить это, мы помещаем полудоверенные устройства в их собственную сеть и тщательно контролируем доступ между полудоверенной сетью (известной как DMZ) и внутренней сетью.
В идеале это может быть связано с использованием брандмауэра, который не позволяет инициировать подключения от DMZ к внутренней сети. Во многих случаях это невозможно, и некоторый доступ должен быть разрешен.
Доступ к DMZ из внутренней сети должен контролироваться аналогичным образом и быть сведен к минимуму с помощью правил брандмауэра.
При публикации веб-сервера через Интернет рекомендуется размещать этот сервер в демилитаризованной зоне. Затем все остальные серверы остаются в зоне MZ.
Если вы не знаете, что такое демилитаризованная зона, это хорошее изложение.
Здесь также хорошая ссылка, которая показывает предупреждение об архитектуре, которая, кажется, у вас есть.
Так что, в принципе, да, вам нужно настроить две отдельные сети. В случае домашней сети я не буду просить вас реализовать два межсетевых экрана (внешний и внутренний). Вы могли бы достичь того же с помощью одного домашнего маршрутизатора / брандмауэра (в зависимости от модели и характеристик). В основном две сети, маршрутизируемые и фильтруемые маршрутизатором / брандмауэром. Обратите внимание, что некоторые домашние маршрутизаторы обеспечивают настройку DMZ.
how would I do this?
зависит от вашей сетевой архитектуры и модели вашего маршрутизатора.