|
|
ru.internet.security- RU.INTERNET.SECURITY --------------------------------------------------------- From : Mark A Bernadiner 2:5020/400 11 Feb 2003 11:50:43 To : Pavel Sher Subject : Re: Intranet protection -------------------------------------------------------------------------------- ----- Original Message ----- From: "Pavel Sher" <pavel@actimind.com> Newsgroups: fido7.ru.internet.security Sent: Saturday, February 08, 2003 7:13 PM Subject: Intranet protection > > Хотелось бы узнать как обычно решается такая проблема: > > В компании есть несколько web серверов, выполняющих разные задачи. От > сайтов с документацией, до сайтов различных проектов компании. > Хотелось бы получить к ним доступ извне, но при этом сделать это > максимально безопасно и просто. Вот минимальный список возможностей Простота и безопасность... это противоречивая задача. Максимальную безопаснось получить не так просто, а максимальную простоту не безопасно... > которые необходимы: > 1. Авторизация пользователей по SSL > 2. Отсутствие необходимости менять настройки текущих серверов и web > серверов компании (например, апгрейд установленного софта) > 3. Минимум изменений в текущих сетевых настройках (файрволы и т.п.) > 4. Желательно, чтобы доступ к закрытым серверам извне осуществлялся > обычным браузером, без необходимости доустановки спец. клиентского ПО. > > Т.е. схема как я себе её представляю такая: > HTTP(S) Request --> Authorization --> Internal resources > > Запрос клиента попадает на авторизационный сервер, сервер проверяет > авторизацию и если всё ok прокидывает запрос на соответствующий > внутренний ресурс компании. Response внутреннего ресурса через тот > же авторизационный сервер отдаётся клиенту > (возможно с модификациями в ссылках). > > При такой схеме (если она возможна), настройки файрвола сильно упрощаются, > посколько в инет выставлен только авторизационный сервер (прокси?), > а все внутренние ресурсы закрыты полностью. > Обычно, сервера к которум должен быть доступ из интернет размещают в отдельном физическом сегменте сети - демилитаризованной зоне. У корпоративного брандмауэра должно быть минимум 3 физических интерфейса - интеренет, демилитаризованная зона, внутрення сеть. Видимо, ничего более мудрого пока не придумали... > > Возможно кто-то сталкивался с софтом имеющим подобные возможности. Или > имел опыт создания подобной системы например на базе open source ПО. Hаверняка кто-то имел.... (8-) Исходя из того какую функциональность и степень защиты тебе нужна, можно подобрать и ПО, а можно, например, железку типа Cisco PIX.... > > -- > Best regards, > Pavel mailto:pavel@actimind.com -- Mark A Bernadiner +7 (35136) 96087 E-mail: mark@zmz.chel.su http://www.mark.zlatoust.ru --- ifmail v.2.15dev5 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.internet.security/6577fe429672.html, оценка из 5, голосов 10
|