web服务器是企业中最常受到***的对象,关于web服务器的在公司网路的设计与部署是个很值得探讨的话题,我们这这就好好说下。先看图

 

这个是简单的2层web设计,我们先从***的角度看主web服务器和应用数据服务器在同一个网段,这意味这***者必须首先攻下防火墙或者web服务器,才能与应用数据进行直接通信,也就是说***者只要控制了web服务器不费力气就可以控制应用数据服务器(在同一个网段)即使是pvlan也不起作用。我们显然丢失了服务器分段带来的好处,最好的做法是我们把服务器放在防火墙分割的接口上,这样即使是控制了web服务器,他也需要返回防火墙***到应用数据服务器,这就是这张拓扑图的设计意义。

内部接口的入站方向

access-list 101 deny   tcp any host 192.0.3.10 eq www
access-list 101 permit tcp 192.168.100.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.100.0 0.0.0.255 any eq 443

外部接口的入站方向

access-list 102 permit tcp any host 192.0.2.55 eq www
access-list 102 permit tcp any host 192.0.2.55 eq 443
access-list 102 deny   tcp any host 192.0.3.10 eq www
access-list 102 deny   tcp any host 192.0.3.10 eq 443

p1的入站方向

access-list 103 permit tcp host 192.0.2.55 host 192.0.3.10 eq www
access-list 103 permit tcp host 192.0.2.55 host 192.0.3.10 eq 443
access-list 103 deny   tcp any any
access-list 103 deny   tcp any any eq www
access-list 103 deny   tcp any any eq 443

 

 

p2的入站方向

access-list 104 permit tcp host 192.0.3.10 host 192.0.2.55 eq www
access-list 104 deny   tcp any any eq www
access-list 104 deny   tcp any any eq 443

我们再看下3层web设计案例

 

设计要求:1.只允许外部网络访问web服务器

                   2.允许web服务器访问应用数据服务器

                  3. 应用服务器只响应web服务器的请求

                  4. 允许应用服务器向数据库服务器发送请求

                  5. 数据库服务器只响应应用服务器

                  6.内部网络只可以访问web服务

FW-1外部接口的 in方向

access-list 101 permit tcp any host 192.0.2.53 eq 80
access-list 101 permit tcp any host 192.0.2.53 eq 443
access-list 101 deny tcp  any any eq 80  
access-list 101 deny tcp  any any eq 443 

FW-1边界接口 in 方向
access-list 102 permit tcp host 192.0.2.53 host 192.0.3.3 eq 80
access-list 102 deny tcp any any any  eq 80
access-list 102 deny tcp any any any  eq 443

FW-1内部边界接口的in方向

access-list 103 permit tcp host 192.0.3.3 host 192.0.2.53  eq 80
access-list 103 deny tcp any any eq 80
access-list 103 deny tcp any any eq 80

 

access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 80
access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 443
access-list 104 deny tcp  any any eq 80  
access-list 104 deny tcp  any any eq 443

FW-2边界接口的in方向

access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 80
access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 443
access-list 105 deny tcp  any any eq 80  
access-list 105 deny tcp  any any eq 443

FW-2内部接口的in方向
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 80
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 443
access-list 106 deny tcp  any any eq 80  
access-list 106 deny tcp  any any eq 443

由于防火墙的自适应性我们在FW-1内部接口,FW-2的外部接口只需打上

access-list 10*deny tcp  any any eq 80  
access-list 10* deny tcp  any any eq 443

上面两个例子只是对http安全的一些设置一个公司或者一个网络不可能只有一台服务器,还有邮件服务器,DNS服务器等,我们只需记住这个方法明白我们需要设置的目的,极其我们需要开设那些服务为那些用户。列出目的条目,我们可以编写出相应的安全策略,这点是作为网络安全工程师所必备的!