Come invertire la comunicazione per sicurezza

Naviga le tue risposte
1

Ho il seguente caso d'uso: ci sono due reti: una rete interna in cui il server delle applicazioni è distribuito e non ha accesso a Internet e una rete esterna accessibile da Internet, ma non può accedere alla rete interna. Quindi l'accesso è simile a questo:

internet < --- > rete esterna < ---- rete interna < ---- > server di applicazioni Web

Ciò di cui ho bisogno è un modo per essere in grado di elaborare le richieste degli utenti provenienti da Internet nel server di applicazioni Web. C'è una soluzione pronta per questo problema?

    
posta Adrian Mitev 13.03.2012 - 18:45
fonte

3 risposte

4

Stai descrivendo una tipica applicazione web multilivello.

Internet - Firewall - DMZ - Firewall - Rete interna

La tipica architettura di sicurezza multilivello mette il server delle applicazioni sulla rete interna e sul server web (nessuna logica aziendale / applicativa) nella DMZ. Consentire il traffico da Internet nella DMZ, solo al server Web, sulla porta 80 e / o 443. Consentire il traffico da DMZ, solo dal server Web, alla rete interna, solo al server delle applicazioni, su qualsiasi porta (s) ) è richiesto e non di più.

Tutte le comunicazioni verso la tua web app ora terminano nella tua DMZ, proteggendo la logica di business e qualsiasi database di backend che stai usando da un attacco.

    
risposta data 13.03.2012 - 18:57
fonte
2

Perché hai un server web in intranet? C'è qualche motivo speciale per questo? La posizione logica per il web server è DMZ.

DMZ dovrebbe essere separato dalla intranet da un firewall e da Internet da un altro.

Puoi inserire Reverse Proxy nella tua rete esterna, ma in ogni caso dovrai aprire la comunicazione da RP al tuo server web.

Spero che questo ti possa aiutare.

Saluti

    
risposta data 13.03.2012 - 18:54
fonte
1

Di solito fai quanto segue: 1. Stabilire un indirizzo IP esterno per questo server. 2. Aggiungi una voce DNS esterna per quell'indirizzo IP per la tua applicazione. 3. Aggiungi un percorso al firewall che passa il traffico 80 (o 443) per quell'IP esterno al tuo server web interno.

I tuoi commenti su una "coda" ecc. sono interessanti. Non sono sicuro del motivo per cui avvii un sistema di accodamento a meno che il server dell'app non sia una casella dei servizi Web e stai cercando di esporre determinate funzionalità. Indipendentemente da ciò, sembra un eccesso di ingegnerizzazione che non vi toglierà nulla dal punto di vista della sicurezza.

    
risposta data 13.03.2012 - 19:01
fonte

Leggi altre domande sui tag

Quale MTA non ha il controllo antivirus per le e-mail in uscita? [chiuso] Possiamo cancellare completamente un telefono Android usando Crittografia e Cancellazione di fabbrica? (Samsung Galaxy S7 per l'esattezza)