Si tuviera dos firewalls, podría poner un servidor web dentro de una DMZ y luego, con el segundo firewall, restringir el acceso al servidor DB.
Sin embargo, si solo tengo un firewall, ¿cómo podría lograr esto? Porque si uso el siguiente esquema, el servidor web tendría acceso completo al servidor DB, ¿no?
Internet -- Router -- Firewall -- Switch -- DB
|
Web
Los firewalls modernos casi siempre vienen con más de dos interfaces. Un Fortigate 40c , por ejemplo, uno de los dispositivos de seguridad de clase empresarial más baratos del mercado, destinado a Aplicaciones SOHO, viene con 7! (Cinco de ellos se pueden configurar en un conmutador ... ¡en realidad viene configurado de esta manera de fábrica! Puede volver a configurarlo en interfaces independientes, aunque).
Cada interfaz puede ser protegida por firewall desde las otras: usted controla qué tipo de tráfico y desde quién puede pasar de una interfaz a otra. Ese es el trabajo del firewall. Además, la mayoría de los firewalls modernos también hacen un trabajo creíble como enrutador ... puede configurar redes separadas para su DMZ y su servidor de base de datos, y enrutarlas entre ellas, mientras filtra el tráfico.
Entonces, la respuesta es comprar un firewall basado en la carga de tráfico esperada y dedicar un puerto a Internet, un puerto a la DMZ y un puerto a su servidor de bases de datos, configurar su política de firewall y enrutar para controlar el tráfico. entre ellos.
Puede ser tentador tratar de separar el tráfico mediante VLAN en el conmutador, pero esto es un mala idea si se trata de su estrategia de seguridad, hay formas de atravesar las VLAN.
Mi suposición básica es que su servidor de base de datos no necesita ser accesible desde Internet, pero sí el servidor web. Si esa suposición es inválida, entonces ajuste el resto según lo tenga sentido.
Como mínimo, su firewall debe estar configurado para limitar el tráfico externo desde su servidor de base de datos. Los firewalls modernos tienen un estado estable, lo que significa que detectarán la comunicación saliente de los dispositivos internos y permitirán el tráfico de retorno. Esto le permitirá implementar un rechazo general a su base de datos. También debe extraer un perfil de tráfico de su servidor DB para la comunicación interna. ¿Qué tipo de acceso necesita que necesita? ¿Utiliza SSH o RDP para administrar la caja? ¿Es el servidor web el único sistema que necesita llegar directamente al puerto de la base de datos? ¿Qué tipo de monitoreo estás haciendo? ¿Snmpd necesita estar abierto? ¿Está utilizando Grid (para Oracle) o MySQL Workbench para administrar la base de datos? Piense en todo esto y complete la siguiente tabla:
| Source Address | Port | Protocol | Purpose |
| -------------- | ---- | -------- | ------- |
| 192.168.1.1 | 3306 | TCP | MySQL DB connection |
Una vez que haya trazado todas las conexiones de datos, úselas para construir nuestro servidor de seguridad host en su servidor de base de datos.
Dependiendo de las capacidades técnicas de su equipo de red, se pueden imponer algunas restricciones de datos en el propio conmutador. Lo que esté disponible y cómo hacerlo dependerá del proveedor, la revisión del software del modelo, etc. Es probable que necesite que su ingeniero de red investigue este por usted.