Некоторые сетевые экраны используют "перенаправление порта" для разрешения доступа из интернета к серверу, находящемуся под защитой сетевого экрана. Это большая ошибка! Все, что нужно сделать хакеру – проникнуть на веб-сервер через "дыру" в сетевом экране, после чего использовать сервер для атаки на остальные компьютеры. Рекомендуется оставить частично незащищенный сервер вне защищаемой сетевым экраном сети, и не предоставлять злоумышленникам внутренний компьютер, который они используют против вас же.

Сетевой экран с портом DMZ

Некоторые сетевые экраны обеспечивают порт демилитаризованной зоны (DMZ) для серверов, к которым осуществляется доступ из интернета. Порт DMZ позволяет пользователям интернета подключаться к серверам в DMZ, оставляя их открытыми для возможных атак; тем не менее, обеспечивается защита локальной сети посредством содержания серверов вне внутренней компьютерной сети. Если кто-то проникнет на сервер, то это будет единственный потерянный компьютер. Внутренняя сеть останется по-прежнему защищенной.

Полностью защищенный порт DMZ

Это оптимальная конфигурация для локально управляемой демилитаризованной зоны. Даже если атакующий преодолеет периметровый сетевой экран, второй сетевой экран защитит интрасеть посредством блокировки всего трафика за исключением пакетов, отвечающих запросам изнутри.

Безопасное удаленное управление через VPN

Управление веб-сайтом, который находится на сервере поставщика услуг интернет или службы хостинга, нужно осуществлять с помощью безопасного метода удаленного управления, такого как зашифрованный сеанс через службы терминала или VPN. VPN обеспечит шифруемый "туннель" для передачи информации между удаленной рабочей станцией администрирования и сетевым экраном VPN. Маршрутизаторы будут воспринимать сетевые пакеты точно так же, как и любой другой IP-трафик.

Применение дополнительных средств безопасности

Сторонние продукты и службы обеспечивают дополнительную защиту веб-сервера IIS и локальной сети. Не следует полагаться лишь на сетевой экран для обеспечения безопасности сетевых компонентов и ресурсов.

Применение подкомпонентов IIS

Дополнительные службы (FTP, NNTP) нужно защитить так же, как и веб-сервер, особенно FTP-сервер с доступом из интернета.

Использование службы IIS SMTP для защиты Exchange Server

В лекции 10 рассказывается о настройке службы IIS SMTP для запрета прямого взаимодействия серверов интернета с Exchange Server посредством публикации службы IIS SMTP вместо служб SMTP Exchange Server.