防火墙是一种安全工具,可通过允许发送到其他计算机和从其他计算机接收的流量来限制计算机上的端口数量。当您使用防火墙将通信限制为少数几个端口时,可以限制计算机的访问方式,并确保组织以外的人员只能访问您希望其访问的程序。例如,通常只允许 Web 流量通过 Web 服务器并阻止所有其他类型的流量。可通过硬件、软件或者硬件和软件相结合的方式实现防火墙的功能。
防火墙有助于防止某些攻击,例如蠕虫和某些特洛伊木马。这些攻击通过计算机上运行的程序所暴露的开放端口进入或离开系统,但不会暴露于开放互联网。不过,防火墙无法阻挡附加在电子邮件中的病毒或网络内部的威胁。因此,尽管防火墙非常重要,但也不应成为整个安全策略的唯一组成部分。除防火墙外,还应一同部署其他安全策略,如防病毒软件、安全可靠的身份验证和授权技术等等。
注:
通过限制开放端口进行工作的防火墙不同于 Web 应用程序防火墙,后者可以主动分析传入的 Web 流量并可以阻止可疑内容。Web 应用程序防火墙可能是您整体安全策略中的有益工具 但不是本主题的重点。实施外围网络(也称为隔离区 (DMZ) 或屏蔽子网)是一种安全性最佳实践,可防止外部用户直接访问您的 ArcGIS Server 站点。外围网络可用作网络中外部用户可以访问的唯一暴露点。它为组织的网络增加了一层安全性。
本主题将讨论使用防火墙保护独立 ArcGIS Server 网站(未与 ArcGIS Enterprise 门户联合的网站)。如需了解有关 ArcGIS Enterprise 门户和联合 ArcGIS Server 站点网络安全性的详细信息,请参阅关于保护您的门户。
通过防火墙保护 ArcGIS Server
您可采取多种策略以使用防火墙保护独立 ArcGIS Server 站点。以下策略使用防火墙将内部网络(安全性受到监管)与外部网络(安全性得不到保障)隔开。
外围网络中具有反向代理和 ArcGIS Web Adaptor 的多防火墙
如果您的组织尚未使用反向代理服务器,则可以在外围网络中配置反向代理服务器和 ArcGIS Web Adaptor。在这种情况下,ArcGIS Web Adaptor 通过端口 443 接收传入的请求。然后,它将请求通过另一个防火墙发送到 ArcGIS Server,使用端口 6443。ArcGIS Web Adaptor 使得该计算机充当反向代理。
以下详细介绍了此方案中的各个组成部分:
- 外围网络包括 Internet 用户可通过防火墙访问但不属于内部安全网络的计算机。外围网络会阻止 Internet 客户端直接访问内部网络。
- 外围网络中的 ArcGIS Web Adaptor 通过最常见的端口(例如端口 443)接收 internet 请求。防火墙将阻止经由其他任何端口的访问。然后,ArcGIS Web Adaptor 通过另一个防火墙使用 ArcGIS Server 的 6443 端口将请求发送到内部安全网络。
- ArcGIS Server 和其他 ArcGIS Enterprise 组件位于安全的内部网络中。进入安全网络的请求必须来自 ArcGIS Web Adaptor 并通过防火墙。离开安全网络的响应返回到客户端的方式与请求到达的方式相同。响应首先通过防火墙返回到 ArcGIS Web Adaptor。然后,ArcGIS Web Adaptor 通过另一个防火墙将响应发送到客户端。
如果外围网络中的计算机遭到攻击,第二个防火墙会降低受影响计算机对内部计算机网络进行攻击的概率。
集成现有反向代理
如果您的组织已经使用反向代理,则可以将其配置为在内部安全网络中向 ArcGIS Server 发送请求的路径。
为确保反向代理与您的安全内部网络之间的端口对外部用户不可见,请在安全内部网络中的另一台 Web 服务器上安装 ArcGIS Web Adaptor。
要了解如何将 ArcGIS Server 集成到您的反向代理服务器,请参阅将反向代理服务器与 ArcGIS Server 结合使用。
单防火墙
安全性较低的一种方法是使用单个防火墙限制 Web 服务器流量。通常,只开放 443 端口。Web 服务器、ArcGIS Web Adaptor、ArcGIS Server 和数据都位于防火墙后的内部安全网络中。
为了实现强大的网络安全性, 在外部客户端与内部网络之间放置多层防御。如果单个防火墙是唯一的防御层,则违反该层将打开您的安全网络以防止潜在的恶意活动。鉴于上述原因,不推荐使用此类型的安全配置。
ArcGIS Server 计算机之间的防火墙
通常无需在 ArcGIS Server 站点或多个 ArcGIS Server 站点的计算机之间放置防火墙。但如果计算机之间存在防火墙,则应开启 ArcGIS Server 所用端口中列出的端口。