Брандмауэр - это средство безопасности, которое ограничивает число портов на вашем компьютере, так как трафик можно отправлять на другие компьютеры и получать его от них. Когда вы используете брандмауэр, чтобы ограничить связь небольшим числом портов, вы можете ограничить доступность ваших компьютеров и гарантировать, что только с теми программами, которые вы планируете использовать, могут связаться люди за пределами вашей организации. Например, обычно разрешается пропускать только веб-трафик на веб-сервер и предотвращать все другие типы трафика. Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения.
Брандмауэры помогают предотвратить некоторые атаки, например, черви и некоторые трояны. Эти атаки входят в вашу систему или выходят из нее через открытые порты, которые открываются программами, запущенными на вашем компьютере, но не предназначены для открытого доступа в Интернете. Брандмауэры не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.
Примечание:
Брандмауэры, которые работают за счет ограничения открытых портов, отличаются от брандмауэров веб-приложений, которые активно анализируют входящий веб-трафик и могут блокировать подозрительный контент. Брандмауэры веб-приложений могут быть полезными инструментами в вашей общей стратегии безопасности, но не обсуждаются в этом разделе.Рекомендуется внедрить сеть периметра, также называемую демилитаризованной зоной (DMZ) или экранированной подсетью, для предотвращения прямого доступа внешних пользователей к вашему сайту ArcGIS Server. Сеть периметра функционирует как единственная открытая точка в вашей сети, доступная для внешних пользователей. Она увеличивает уровень безопасности сети вашей организации.
В этом разделе обсуждается использование брандмауэров для защиты автономных сайтов ArcGIS Server (которые не интегрированы с порталом ArcGIS Enterprise). Чтобы узнать больше о сетевой безопасности для портала ArcGIS Enterprise и интегрированных сайтов ArcGIS Server, см. О защите вашего портала.
Защита ArcGIS Server с помощью брандмауэров
Существует ряд стратегий, цель которых – обеспечить защиту автономного сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).
Несколько брандмауэров с обратным прокси и ArcGIS Web Adaptor в пограничной сети
Если ваша организация еще не использует обратный прокси-сервер, вы можете настроить его и ArcGIS Web Adaptor в пределах сети периметра. В этом случае ArcGIS Web Adaptor получает входящие запросы через порт 443. Затем он отправляет запрос через другой брандмауэр в ArcGIS Server, используя порт 6443. ArcGIS Web Adaptor заставляет компьютер работать, как обратный прокси.
Ниже приведено более подробное описание каждого компонента в этом сценарии:
- Пограничная сеть содержит компьютеры, iдоступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
- ArcGIS Web Adaptor В сети периметра интернет работает через стандартный порт, например, 443. Брандмауэр предотвращает доступ через другие порты. После этого ArcGIS Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6443 ArcGIS Server.
- ArcGIS Server И другие компоненты ArcGIS Enterprise ссылаются на защищенную внутреннюю сеть. Запрос, поступающий в безопасную сеть, должен поступать с ArcGIS Web Adaptor и проходить через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Сначала отклик передается через брандмауэр назад в ArcGIS Web Adaptor. Затем ArcGIS Web Adaptor отправляет его в клиент через другой брандмауэр.
В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.
Интеграция существующего обратного прокси
Если ваша организация уже использует обратный прокси, можно его настроить таким образом, чтобы он направлял запросы к ArcGIS Server в безопасной внутренней сети.
Если вы хотите, чтобы порт между обратным прокси и вашей безопасной внутренней сетью оставался неизвестным, на другом веб-сервере в пределах этой безопасной внутренней сети должен быть установлен ArcGIS Web Adaptor.
Подробнее об интегрировании ArcGIS Server с обратным прокси-сервером см. в разделе Использование обратного прокси-сервера с ArcGIS Server.
Один брандмауэр
Наименее безопасный вариант предполагает использование одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 443. Ваш веб-сервер, ArcGIS Web Adaptor, ArcGIS Server и данные размещены в безопасной внутренней сети, защищенной брандмауэром.
Чтобы добиться высокой безопасности сети, разместите несколько уровней защиты между внешними клиентами и внутренней сетью. Если единственный брандмауэр является единственным уровнем защиты, нарушение этого уровня открывает вашу безопасную сеть для потенциальной злонамеренной активности. По этой причине такой тип настроек безопасности применять не рекомендуется.
Брандмауэры между компьютерами ArcGIS Server
Как правило, нет необходимости размещать межсетевые экраны между компьютерами на сайте ArcGIS Server или между несколькими сайтами ArcGIS Server. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server.