Web ve FTP Sunucuları
İnternet bağlantısı olan her ağ, tehlikeye atılma riski altındadır. LAN’ınızı korumak için atabileceğiniz birkaç adım varken, tek gerçek çözüm LAN’ınızı gelen trafiğe kapatmak ve giden trafiği kısıtlamaktır.
Bununla birlikte, web veya FTP sunucuları gibi bazı hizmetler, gelen bağlantılar gerektirir. Bu hizmetlere ihtiyacınız varsa, bu sunucuların LAN’ın bir parçası olmasının gerekli olup olmadığını veya DMZ olarak bilinen fiziksel olarak ayrı bir ağa (veya uygun adını tercih ederseniz askerden arındırılmış bir bölgeye) yerleştirilip yerleştirilemeyeceklerini göz önünde bulundurmanız gerekir. İdeal olarak, DMZ’deki tüm sunucular, her bir sunucu için benzersiz oturum açma ve parolalar ile bağımsız sunucular olacaktır. DMZ içindeki makineler için bir yedekleme sunucusuna ihtiyacınız varsa, özel bir makine edinmeli ve yedekleme çözümünü LAN yedekleme çözümünden ayrı tutmalısınız.
DMZ doğrudan güvenlik duvarından çıkacaktır, bu da DMZ’ye giriş ve çıkış olmak üzere iki yol, internete ve LAN’a giden ve gelen trafik olduğu anlamına gelir. DMZ ve LAN’ınız arasındaki trafik, DMZ’niz ve İnternet arasındaki trafiğe göre tamamen ayrı olarak ele alınacaktır. İnternetten gelen trafik doğrudan DMZ’nize yönlendirilir.
Bu nedenle, herhangi bir bilgisayar korsanı, DMZ içinde bir makineyi tehlikeye atarsa, erişebilecekleri tek ağ DMZ olacaktır. Bilgisayar korsanı LAN’a çok az erişebilir veya hiç erişemez. LAN içindeki herhangi bir virüs enfeksiyonu veya başka bir güvenlik açığının DMZ’ye taşınması da mümkün olmayacaktır.
DMZ’nin etkili olması için, LAN ile DMZ arasındaki trafiği minimumda tutmanız gerekecektir. Çoğu durumda, LAN ve DMZ arasında gerekli olan tek trafik FTP’dir. Sunuculara fiziksel erişiminiz yoksa, terminal hizmetleri veya VNC gibi bir tür uzaktan yönetim protokolüne de ihtiyacınız olacaktır.
Veritabanı sunucuları
Web sunucularınız bir veritabanı sunucusuna erişim gerektiriyorsa, veritabanınızı nereye yerleştireceğinizi düşünmeniz gerekir. Bir veritabanı sunucusunu bulmak için en güvenli yer, güvenli bölge adı verilen fiziksel olarak ayrı başka bir ağ oluşturmak ve veritabanı sunucusunu oraya yerleştirmektir.
Güvenli bölge ayrıca doğrudan güvenlik duvarına bağlı fiziksel olarak ayrı bir ağdır. Güvenli bölge, tanımı gereği ağdaki en güvenli yerdir. Güvenli bölgeye veya buradan tek erişim, DMZ’den (ve gerekirse LAN’dan) veri tabanı bağlantısı olacaktır.
Kuralın istisnaları
Ağ mühendislerinin karşılaştığı ikilem, e-posta sunucusunun nereye yerleştirileceğidir. İnternete SMTP bağlantısı gerektirir, ancak aynı zamanda LAN’dan etki alanına erişim gerektirir. Bu sunucuyu DMZ’de nereye yerleştirirseniz, etki alanı trafiği DMZ’nin bütünlüğünü tehlikeye atarak onu LAN’ın bir uzantısı haline getirir. Bu nedenle, bize göre, bir e-posta sunucusu koyabileceğiniz tek yer LAN üzerindedir ve bu sunucuya SMTP trafiğine izin verir. Ancak, bu sunucuya herhangi bir HTTP erişimine izin verilmemesini tavsiye ederiz. Kullanıcılarınızın postalarına ağ dışından erişmeleri gerekiyorsa, bir tür VPN çözümüne bakmak çok daha güvenli olacaktır. (VPN bağlantılarını işleyen güvenlik duvarı ile. LAN tabanlı VPN sunucuları, VPN trafiğinin kimliği doğrulanmadan önce ağa girmesine izin verir, bu asla iyi bir şey değildir.)
GIPHY App Key not set. Please check settings