問：我需要將web服務器放入DMZ中，服務器需要訪問放在內網的網絡附加存儲（NAS）盒中的數據。為了建立一個安全的DMZ web服務器，有沒有一些最佳實踐？

答：這是個好問題。我們經常碰到這樣的問題。一般地，你可能希望將面向網絡的系統與支持組件分離開來，放在它們專有的空間（如，從內網中分開）。

將這個最初的想法擴展開來，確保DMZ  Web服務器具有盡可能好的安全級別，考慮將NAS設備放置在其專有的網段上。這樣的話，如果Web服務器被破解了，附帶的損失也會降到最小。我說的附帶損失是指緩解攻擊者進入NAS盒和其他網絡的風險。這樣你也可以設置戰略性的阻塞點（choke point）來監測惡意活動。這種部署的例子就是設置一個內聯Web應用程序防火墻（WAF）或入侵防御系統（IPS），以保護下游環節（downstream link）（如在DMZ界面的鏈接）。

從聯網的角度來看，我會實施合適的入站（inbound）訪問控制列表（ACL），并且盡可能的限制NAS。例如，利用內置防火墻安全限制，可以防止從不信任的界面來的流量（如Internet/DMZ）流向信任的界面（如，內網）。此外，訪問面向網絡的 DMZ應該限制在合適的應用程序端口（一般的，TCP端口80和TCP端口443）。考慮執行一個嚴格的outbound ACL以控制從內聯網到DMZ的流量。

所有其他傳統的服務器加強規則應用，特別是在DMZ swing上。如果你主要是在NAS上處理靜態的內容，考慮一些類型的文件整合監測系統。Tripwire公司提供了一個商業產品，AIDE開源工具，你可以在SourceForge中找到。

【編輯推薦】

1. 搜索結果將黑客帶入四層夢境之如何設計安全的四級DMZ
2. 選用單防火墻DMZ還是雙防火墻DMZ