인터넷에 연결되어있는 모든 네트워크는 위험에 노출되어 있습니다. LAN을 보호하기 위해 취할 수있는 몇 가지 단계가 있지만 실제로 유일한 해결책은 LAN을 들어오는 트래픽을 닫고 나가는 트래픽을 제한하는 것입니다.
그러나 웹 또는 FTP 서버와 같은 일부 서비스는 들어오는 연결을 필요로합니다. 이러한 서비스가 필요한 경우 이러한 서버가 LAN의 일부인지 여부 또는 DMZ (또는 적절한 이름을 선호하는 경우 비무장 지대)로 알려진 물리적으로 분리 된 네트워크에 배치 할 수 있는지 여부를 고려해야합니다. 이상적으로 DMZ의 모든 서버는 각 서버에 고유 한 로그온 및 암호로 독립형 서버가됩니다. DMZ 내의 시스템에 백업 서버가 필요한 경우 전용 시스템을 구입하고 백업 솔루션을 LAN 백업 솔루션과 별도로 유지해야합니다.
웹 응용 프로그램의 기본 개념, 작동 방법 및 HTTP 프로토콜
DMZ는 방화벽에서 직접적으로 나옵니다. 즉, DMZ 안팎으로 두 개의 경로, 인터넷과의 트래픽, LAN과의 트래픽이 있습니다. DMZ와 LAN 사이의 트래픽은 DMZ와 인터넷 사이의 트래픽으로 완전히 분리되어 처리됩니다. 인터넷에서 들어오는 트래픽은 DMZ로 직접 라우팅됩니다..
따라서 해커가 DMZ 내의 시스템을 손상시킬 수있는 위치에 있다면 DMZ 만 네트워크에 액세스 할 수 있습니다. 해커는 LAN에 거의 또는 전혀 액세스하지 못합니다. LAN 내의 모든 바이러스 감염이나 기타 보안 손상이 DMZ로 마이그레이션 할 수없는 경우도 있습니다.
DMZ가 효과적이기 위해서는 LAN과 DMZ 사이의 트래픽을 최소한으로 유지해야합니다. 대부분의 경우 LAN과 DMZ간에 필요한 유일한 트래픽은 FTP입니다. 서버에 물리적으로 액세스 할 수없는 경우 터미널 서비스 또는 VNC와 같은 일종의 원격 관리 프로토콜이 필요합니다..
데이터베이스 서버
웹 서버가 데이터베이스 서버에 액세스해야하는 경우 데이터베이스를 배치 할 위치를 고려해야합니다. 데이터베이스 서버를 찾는 가장 안전한 장소는 보안 구역이라고하는 또 다른 물리적으로 분리 된 네트워크를 작성하고 거기에 데이터베이스 서버를 배치하는 것입니다.
보안 영역은 방화벽에 직접 연결된 물리적으로 분리 된 네트워크이기도합니다. 보안 영역은 정의상 네트워크에서 가장 안전한 장소입니다. 보안 영역으로 또는 보안 영역에서 유일한 액세스는 DMZ (및 필요한 경우 LAN)의 데이터베이스 연결이며,.
규칙 예외
네트워크 엔지니어가 직면하는 딜레마는 이메일 서버를 어디에 둘 것인지입니다. 인터넷에 SMTP 연결이 필요하지만 LAN에서 도메인 액세스가 필요합니다. 이 서버를 DMZ에 배치해야하는 경우 도메인 트래픽은 DMZ의 무결성을 손상시켜 LAN의 확장으로 만 만듭니다. 따라서 우리가 생각하기에, 이메일 서버를 설치할 수있는 유일한 장소는 LAN에 있으며 SMTP 트래픽을이 서버에 허용합니다. 그러나이 서버에 대한 어떠한 형태의 HTTP 액세스도 허용하지 않는 것이 좋습니다. 사용자가 네트워크 외부에서 자신의 메일에 액세스해야하는 경우 VPN 솔루션의 일부 형태를 보는 것이 훨씬 안전합니다. (VPN 연결을 처리하는 방화벽이있는 LAN 기반 VPN 서버는 인증되기 전에 VPN 트래픽을 네트워크에 허용합니다. 결코 좋은 방법이 아닙니다.) 웹 서버 작동 방법 웹 사이트를 통해 많은 트래픽이 발생하는 경우 누구나 그것을 좋아합니다. 사실, 많은 사람들이 트래픽을 성취하기 위해 할 수있는 일을 무엇이든함으로써 누군가가 자신의 사이트에서 흥미로운 것을 발견하고 사이트에서 구매할 수 있기를 바랍니다. 그게 아이디어 야, 그렇지? 물론 그렇습니다. 그러나 목표 트래픽이 아닌 경우 모든 유형의 트래픽이별로 도움이되지 않을 수도 있습니다. 그러나 트래픽이 사이트로 유입되는 방식과 그 중 두 가지가 DOS 공격 및 Digg 트래픽입니다. 웹 사이트로 트래픽을 가져 오는 방법에 관한 한 두 가지 측면에서 실제 차이점이 있습니다. 하나가 다른 하나보다 더 악의적이라고 말하자..
DOS 공격
Dos Attack은 실제로 쓸모없는 것으로 간주 될 수있는 트래픽으로 넘쳐나 기 때문에 웹 서버가 자비를 요구하게 만듭니다. Teardrop과 Ping of Death와 같은 종류의 DOS 공격이 있습니다. 이러한 작업은 TCP / IP 프로토콜의 한계를 악용합니다. 그러나 관리자가 DOS 공격으로 인한 피해를 줄이기 위해 시스템을 관리하는 소프트웨어 수정이 있습니다. 그러나 컴퓨터 바이러스와 마찬가지로 해커가 항상 새로운 공격을합니다. 이러한 공격은 웹 사이트가 정상적으로 작동하지 못하게하고 대개 은행 및 신용 카드 사이트와 같은 대규모 사이트를 대상으로합니다. Teardrop 공격은 대상 시스템과 겹치는 큰 페이로드가있는 IP 조각을 보냅니다. 많은 운영 체제는 이러한 유형의 공격에 취약하며 전체 시스템을 손상시킬 수 있습니다..
스머프 공격 (Smurf Attack)이라는 공격이 있는데,이 공격은 특정 네트워크의 컴퓨터 호스트로 전송되는 정보 패킷을 전송함으로써 인터넷에 범람하게합니다. 이것은 웹 사이트가 많은 트래픽을 받고 있지만 트래픽 중 어느 것도 합법적이지 않은 방법 중 하나입니다. SYN 홍수는 서버를 범람시켜 합법적 인 트래픽으로 보입니다..
Digg 트래픽
Digg는 실제로 웹 사이트 트래픽을 생성하는 합법적 인 방법입니다. 커뮤니티 기반이며 기사를 사용하여 트래픽을 발생시킵니다. 블로깅, 소셜 북 마킹 및 신디케이션과 사용자의 편집 제어를 결합합니다. 웹 사이트 및 뉴스 기사는 사용자가 제출하고 사용자 기반 순위 시스템은 웹 사이트를 홍보하는 데 사용됩니다. 웹 서버가 높은 수신 트래픽을 관리 할 준비가되지 않아 궁극적으로 사이트를 잠시 동안 중단시킬 수 있습니다. 그러나 Digg는 사용자가 콘텐츠에 대해 너무 많은 통제권을 갖고 있기 때문에 논쟁을 벌였습니다. 사용자가 합법적인지 아닌지에 관계없이 사용자가 홍보하고자하는 기사 아래에 이러한 합법적 인 기사를 묻을 수있는 스팸으로 기사를 표시하는 :묻어 진 여단 (Bury Brigade):운영에 대한 비난을받은 사용자가 있습니다.
차이점들
차이점은 DOS 공격은 해커가 가짜 트래픽으로 시스템을 악의적으로 범람하고 실제로 웹 사이트 사용을 중지 할 수 있다는 점에서 다소 깨끗합니다. Digg는 합법적 인 방법이지만 트래픽을 얻기위한 합법적 인 방법은 아닙니다. 그러나 Digg조차도 Digg의 시스템을 통해 승진 할 수있는 능력을 저해 할 수있는 :Bury Brigades:로 인해 트래픽이 합법적 인 기사로부터 멀어 질 수있는 논란을 겪었습니다. 그러나 인터넷상의 모든 시스템과 마찬가지로 원래 의도를 손상시킬 수있는 방법이 항상 있으며 Digg도 예외는 아닙니다. 반면에 DOS 공격은 여전히 의도 한대로 수행합니다. 이는 웹을 악의적으로 공격하는 것입니다..