Главная страница


ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Mark A Bernadiner                    2:5020/400     11 Feb 2003  11:50:43
 To : Pavel Sher
 Subject : Re: Intranet protection
 -------------------------------------------------------------------------------- 
 
 ----- Original Message -----
 From: "Pavel Sher" <pavel@actimind.com>
 Newsgroups: fido7.ru.internet.security
 Sent: Saturday, February 08, 2003 7:13 PM
 Subject: Intranet protection
 >
 > Хотелось бы узнать как обычно решается такая проблема:
 >
 > В компании есть несколько web серверов, выполняющих разные задачи. От
 > сайтов с документацией, до сайтов различных проектов компании.
 > Хотелось бы получить к ним доступ извне, но при этом сделать это
 > максимально безопасно и просто. Вот минимальный список возможностей
 
 Простота и безопасность...  это противоречивая задача.
 Максимальную безопаснось получить не так просто,
 а максимальную простоту не безопасно...
 > которые необходимы:
 > 1. Авторизация пользователей по SSL
 > 2. Отсутствие необходимости менять настройки текущих серверов и web
 > серверов компании (например, апгрейд установленного софта)
 > 3. Минимум изменений в текущих сетевых настройках (файрволы и т.п.)
 > 4. Желательно, чтобы доступ к закрытым серверам извне осуществлялся
 > обычным браузером, без необходимости доустановки спец. клиентского ПО.
 >
 > Т.е. схема как я себе её представляю такая:
 > HTTP(S) Request --> Authorization --> Internal resources
 >
 > Запрос клиента попадает на авторизационный сервер, сервер проверяет
 > авторизацию и если всё ok прокидывает запрос на соответствующий
 > внутренний ресурс компании. Response внутреннего ресурса через тот
 > же авторизационный сервер отдаётся клиенту
 > (возможно с модификациями в ссылках).
 >
 > При такой схеме (если она возможна), настройки файрвола сильно упрощаются,
 > посколько в инет выставлен только авторизационный сервер (прокси?),
 > а все внутренние ресурсы закрыты полностью.
 >
 
 Обычно, сервера к которум должен быть доступ из интернет
 размещают в отдельном физическом сегменте сети - демилитаризованной зоне.
 У корпоративного брандмауэра должно быть минимум 3 физических
 интерфейса - интеренет, демилитаризованная зона,  внутрення сеть.
 
 Видимо, ничего более мудрого пока не придумали...
 
 >
 > Возможно кто-то сталкивался с софтом имеющим подобные возможности. Или
 > имел опыт создания подобной системы например на базе open source ПО.
 
 Hаверняка кто-то имел.... (8-)
 
 Исходя из того какую функциональность и степень защиты тебе нужна,
 можно подобрать и ПО, а можно, например, железку типа Cisco PIX....
 >
 > --
 > Best regards,
 >  Pavel                          mailto:pavel@actimind.com
 --
 Mark A Bernadiner    +7 (35136) 96087
 E-mail:  mark@zmz.chel.su
 http://www.mark.zlatoust.ru
 
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Intranet protection   Pavel Sher   08 Feb 2003 18:13:17 
 Re: Intranet protection   Mark A Bernadiner   11 Feb 2003 11:50:43 
Архивное /ru.internet.security/6577fe429672.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional