我有兴趣从我们当地的办公室运行我们公司的网络服务器。办公室使用文件共享和 NAS 设备以及其他常见的办公协议。我设想的最坏情况是有人窃听公司电子邮件、进行数据包跟踪等。我想采取必要的预防措施,以帮助确保有恶意意图的人更难通过以下方式访问我们的内部网络如果我们公司的专用 IP 已知,则 Web 服务器或可能监听传出流量。以下是我正在考虑的一些事情:
还有什么突出的吗?我应该遵守一些常见的安全实践?提前致谢。
除非您有充分的理由这样做,否则您可能会发现这不仅会给您的网站和办公基础设施带来潜在风险,还会给网站用户带来不利的体验。
至少,您应该使用防火墙将所有流量丢弃到意外端口(可能是 80 和 443,取决于您是否使用 HTTPS),并确保 Web 服务器系统与其他办公室计算机和网络隔离。
更改默认 HTTP 和 HTTPS 端口会让您头疼,因为用户必须指定端口才能连接到您的网站,并且为任何其他服务提供非常有限的保护(扫描所有可能的端口需要几分钟的时间)给定 IP 地址 - 如果有人正在查看您的服务器,他们会发现 SSH 在 2020 年而不是 22 年运行)。
如果您与 Web 服务器共享 Internet 连接,您还应该考虑您的网络如何受到拒绝服务攻击的影响。如果您在 Web 服务器和网络的其余部分之间没有完全隔离,那么坚定的攻击者也可能会从您的 Web 服务器转向攻击其他系统,这些系统可能不会以这种方式进行攻击。
使用最新的安全补丁对 Web 服务器进行修补也很重要,因为攻击的影响可能会超出一台服务器。
另一方面,如果您通过托管托管服务提供商托管您的网站,他们将拥有专用带宽、防火墙系统以最大程度地减少服务器之间的连接,可能会在发布安全补丁时安装它们,并且根据提供商的不同,可能会处理基本的备份和跌倒程序。
任何中小型企业自行托管的理由很少,因此只有在存在无法通过其他方式克服的特定原因时才应做出这样做的任何决定。
我很惊讶其他答案没有解决有关网站和公司网络的最基本的安全概念:DMZ
这个概念是您将您的网络服务器放在远离公司局域网的自己的网段上。这可以通过 VLAN 或硬连线路由来完成。您的办公室局域网和 DMZ 之间的这些连接也应该被防火墙关闭。防火墙应该只允许特定的NEEDED端口在系统之间进行通信。这不应该包括能够从网络服务器进行 SSH 之类的事情。
目标是考虑如果您可以访问网络服务器,您如何访问您的办公室 LAN?如果您能想到可能允许从 DMZ 访问办公室的方法,您应该使用防火墙将它们插入。
总的来说,我建议使用以下设备以获得更好的安全性 1. IPS 2. 防病毒保护 3. 防火墙
IPS(入侵防御系统)为了检测基于模式签名的可疑流量......
IPS/IDS 中提供了某些基于 linux 的开源产品,您可以考虑使用这些产品,例如 Suricata、Snort……查看此链接以获得更好的理解
您还可以构建某些开源防火墙,例如 PFSense,它将根据配置的规则允许/阻止数据包进入/退出您的网络。如果您使用防火墙,则可以使用更多技术功能来提高安全性。
如果您正在寻找物有所值的安全设备,您可以选择 Checkpoint 或 Palo-Alto UTM 安全产品。如果是小型办公室,您可以选择基本型号。
另一个建议是使用 SSL 流量(https 而不是 http)来保护每个会话的流量。使用 SFTP 而不是 FTP。使用 SSH 而不是 Telnet。使用 VPN 从家里通过 Internet 连接您的办公室服务器,而不是将服务器直接暴露在远程桌面端口 3389 上的 Internet 上。