Брандмауэры и ArcGIS Server

Назначение брандмауэра

Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников. Также можно изменить конфигурацию брандмауэра, чтобы настроить обмен данными через порт, известный только вам.

Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения. Брандмауэры рекомендуется использовать для распознавания вирусов (вирусов-червей и некоторых видов троянов), которые могут проникать в систему или из нее через открытый порт. Они не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.

Защита ArcGIS Server с помощью брандмауэра

Существует ряд стратегий, цель которых – обеспечить защиту сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).

Один брандмауэр

Самый простой и наименее безопасный вариант предполагает использование только одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 80. Ваш Веб-сервер, ArcGIS Web Adaptor, ГИС-сервер и данные полностью размещаются в безопасной внутренней сети, защищенной брандмауэром.

Сценарий "Один брандмауэр"
В варианте с использованием одного брандмауэра он устанавливается между внешней сетью и веб-сервером.

Несколько брандмауэров с обратным веб-прокси сервером

Более безопасный, но также и более сложный, подход предполагает настройку веб-сервера и Web Adaptor в пределах пограничной сети (так же известной как демилитаризованная зона [DMZ] или экранированная подсеть). В этом варианте, Web Adaptor принимает входящие запросы через порт 80. После этого он отправляет запрос на ГИС-сервер через другой брандмауэр, используя порт 6080. Web Adaptor заставляет машину действовать как обратный веб-прокси сервер.

Сценарий "Несколько брандмауэров с обратным веб-прокси сервером"
В варианте с использованием нескольких брандмауэров они устанавливаются по обе стороны обратного веб-прокси сервера.

Рассмотрим этот вариант более подробно:

  • Пограничная сеть содержит компьютеры, доступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
  • Web Adaptor в пограничной сети принимает веб-запросы через общий порт (например, порт 80). Брандмауэр блокирует доступ через все остальные порты. После этого Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6080 ArcGIS Server.
  • ГИС-сервер и сервер данных (если есть) размещаются в безопасной внутренней сети. Запрос, поступающий в безопасную сеть, должен приходить из Web Adaptor и пройти через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Во-первых, отклик передается через брандмауэр назад в Web Adaptor. Затем Web Adaptor отправляет его клиенту через другой брандмауэр.

В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.

ПодсказкаПодсказка:

Вышеуказанную схему, включающую обратный веб-прокси сервер, рекомендуется использовать в том случае, если доступ предоставляется только к веб-сервисам. Если также предоставляется доступ к веб-приложениям, можно поместить веб-сервер во внутреннюю сеть для безопасного хранения приложений.

Брандмауэры между ГИС-серверами

В стандартной ситуации установка брандмауэров между ГИС-серверами не требуется. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server.

9/12/2013