Внедрение слоя безопасности
Внедрение слоя безопасности, закрывающего Web-сервер
Web-сервер не должен представлять собой основную систему, обеспечивающую безопасность сайта. Защита работы коммерческого сервера должна обеспечиваться всеми компонентами многослойной архитектуры: серверами приложений, серверами БД, межсетевыми экранами и т.д. Взаимодействие этих комплексов с защищенным Web-сервером создает ту самую систему безопасности, которая на деле способна предохранить бизнес от хакерского нападения.
В реализации системы безопасности часто присутствует proxy-сервер. Сам по себе он не может являться основным защитным механизмом сети, но позволяет значительно повысить скорость работы в Internet за счет функции кэширования страниц. Однако проксирование предоставляет защитные свойства, которые редко можно встретить или не получается эффективно контролировать на прикладном уровне Web-сервера. Internet Security and Acceleration Server компании Microsoft, так же как и его предшественник Microsoft Proxy Server 2.0, представляет собой хороший пример системы, осуществляющей входящий и исходящий контроль доступа, пакетную фильтрацию и контроль доступа на соединениях dial-in.
Фильтрация, основанная на определении портов и содержания пакетов, -это эффективный способ предотвращения несанкционированного доступа к ресурсам защищаемой сети, позволяющий, кроме того, ограничить доступ пользователей к нежелательным ресурсам в Internet. Пакетная фильтрация позволяет контролировать доступ на основании данных заголовков пакетов и может основываться на правилах, параметризуемых адресами отправителя и получателя, а также номерами портов. Фильтрация портов позволяет, в свою очередь, ограничить доступ к некоторым приложениям и запретить использование тех или иных протоколов. Например, если вы хотите запретить трафик протокола telnet, можно установить фильтр на порт 23. Это блокирует любые запросы, направленные на порт 23. В табл. 3.3 отражены номера портов, которые наиболее часто подвергаются фильтрации.
Правила политики безопасности Web-сайта необходимо поддерживать на наиболее ограничивающем» уровне (см. главу 4, раскрывающую особенности работ по созданию политики безопасности). Помните о том, что безопасность - это компромисс. Пользователи должны иметь доступ, необходимый для просмотра содержимого сайта и позволяющий работать с регламентированными программами, но не более того. Для того чтобы выяснить, какими правами доступа располагают пользователи и что эти права позволяют им сделать, администратор должен проверить сайт, применяя анонимный доступ или учетную запись, идентичную записи конкретного пользователя. Это позволяет точно определить, что могут и чего не могут делать ваши пользователи.
После обсуждения всех этих проблем становится ясно, что установка и поддержание работы Web-сервера - ресурсоемкая задача, требующая значительных временных затрат. Сервер может представлять собой жизненно необходимый компонент сети, а может стать «дырой», в которую пролезут хакеры. Планирование и исследование работ по реализации систем Web-сервера - это приоритетные задачи, которые следует выполнить перед вводом сайта в эксплуатацию. Предварительная стадия планирования - это первый шаг, после чего можно приступать к следующему этапу - установке серверного ПО.