Firewall
通過 DMZ 中的 SFTP 伺服器集中我們的 FTP 程序
我們有許多不同的 FTP 程序,在不同的內部伺服器上執行,它們與外部供應商連接以發送或接收敏感數據文件。因此,我們沒有一個集中的地方來跟踪這些程序並記錄正在傳輸的文件。同時,我們擔心員工在我們不知情的情況下將未經批准的文件發送給外部組織。對於那些向我們推送文件的供應商,我們希望將來不允許他們進入我們的網路,即使只是通過 FTP。為了解決這些問題,我們正在考慮一個具有兩個主要目標的解決方案:
- 集中所有 FTP 傳輸,以便從一個易於監控的位置處理它們。
- 阻止防火牆中允許 FTP 和 SFTP 通信的所有埠。
**這就是我們的計劃:**我們將在我們的 DMZ 中放置一個 SFTP 伺服器來與我們的供應商進行互動,這樣他們將來就不需要通過我們的防火牆了。然後,我們將在 DMZ 和內部伺服器上設置一個 Web 服務,該服務將使用 SSL 通過 TCP/IP 通過我們的防火牆相互發送文件。
我想听聽其他人對這個想法的看法,即:
- 這個想法可行且安全嗎?或者它是否存在可能給我們一種錯誤的安全感的缺陷?
- 是否有任何軟體包可以推薦您這樣做,以省去我們自己編寫解決方案的麻煩?
這給簡單文件傳輸的概念增加了很多複雜性,所以我想確保我們的設計在我們開始這條路之前是可靠的。
聽起來不錯。用於組織間文件傳輸的集中式 (S)FTP 伺服器相當普遍。只需盡可能緊密地設置 (S)FTP 伺服器,並在本地設置防火牆以防止任何意外連接。
至於編碼……沒有太多的編碼。只需將您的日誌記錄級別設置得相當高,並為每個組織或使用者創建唯一的使用者帳戶。將任何外部(和大多數內部)使用者鎖定到他們自己的目錄。
如果您想更進一步,您還可以將可以連接到您的伺服器的允許源 IP 列入白名單。例如,讓外部組織註冊他們的源 IP 塊,並且只允許來自這些的外部連接。