Многозональные сети и связанные с ними трудности

минута на чтение

Многозональные сети и связанные с ними трудностиПри создании многозональной сети администраторам приходится сталкиваться с рядом специфических проблем. Из-за разнородности составляющих такие сети достаточно сложны, громоздки и трудны в управлении. Правила экранирования при этом становятся динамическими и нередко противоречивы. Различные дополнительные решения, направленные на координацию взаимодействия сегментов, начинают поглощать массу времени и становятся ресурсоемкими. Реальное, «боевое», построение сети гораздо сложнее и многограннее описываемого здесь примера. Мы останавливаем внимание только на самых значительных, основополагающих моментах, тогда как характеристики могут сильно отличаться от предлагаемого шаблона. Например, вы можете разместить финансовый сегмент не в DMZ, а внутри защищенной сети. Или создать отдельные DMZ для разработки и тестирования новых систем. В любом случае практическое воплощение напрямую зависит от конкретных технических возможностей и требований компании — все остальное можно рассматривать лишь как шаблонный пример, который можно взять за основу. Управление системами экранирования, IDS и пользовательским доступом — трудная задача. Необходимо постоянно следить за тем, чтобы эти процессы оставались по возможности простыми и автоматизированными по своей сути. Никакие инновации не должны идти вразрез с безопасностью и удобствами пользователя. Хорошая практика — начинать с правила «deny all» (запретить все). И со временем добавлять разрешающие инструкции для сервисов, которые необходимы в работе сайта. Никаких излишеств. Ничего сверх необходимого. При этом старайтесь отслеживать протекающие в рамках сайта информационные процессы, следите за правами пользователей и систем, и это в результате позволит упростить задачу поддержки правил экранирования. Следуя этим незамысловатым советам, вы сможете быстро и качественно оформить сайт, не оставив за собой «дыр» в только что разработанной системе безопасности.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Еще одна мера предосторожности, которую стоит принять, — смена используемого внутри сети протокола. Поскольку протокол HTTP имеет врожденные пороки, нежелательно, чтобы он работал внутри сети, пройдя внешний экран. В противном случае хакер использует «туннель»...
Систематические проверки узлов вашей сети на предмет их потенциального участия в проведении атаки. Фильтрация исходящего трафика ограничит возможность компрометации узлов вашей сети и последующего использования их в нападении. Очень важно убедиться в том, что ...
Даже отключение от компьютерной сети способно детонировать ловушку. А что, если злоумышленник разработал свое компрометирующее программное обеспечение так, что оно стирает все, когда перестает принимать определенный сигнал извне? Это может быть сигнал, который...