How to secure a web server on a corporate network?

I

Ivan Koreshkov2016-10-19 05:59:47

linux

Ivan Koreshkov, 2016-10-19 05:59:47

There is a corporate network. 150 computers, servers (all on ESXi), including the nginx web server on Debian, on which the online store. Everything is on the same subnet. The firewall is Kerio. Debian looks at the Internet through a separate provider.
The task is to secure the online store as much as possible from all kinds of attacks, and at the same time to make sure that attacks on the server do not concern the rest of the enterprise network.
I understand that the question is complex, but I would like to hear general principles. There may be a separate gateway for the server to do or something else ... How do you do it, etc.

Reply

Answer the question

In order to leave comments, you need to log in

3 answer(s)

�

Андрей, 2016-10-19
@OLS

Все сервера, предоставляющие сервисы для недоверенных сетей (в т.ч. Интернета) должны размещаться в отдельном сегменте DMZ, при этом не должно быть разрешено инициирование соединений из DMZ внутрь локальной сети - только из локальной сети в DMZ (для управления).

�

Алексей Черемисин, 2016-10-19
@leahch Куратор тега Linux

Я на каджом сервере ставлю firehol.
Конфиг примерно такой, защита от всякоразных флудов, установка политики дропанья пакетов, разрешения на подключение только по ssh http https icmp ping.
На выход (с самого сервера), мы можем только попингать интернет, никакие клиенты с сервера никуда не убегут.

version 5
interface any world
       policy DROP
       protection strong
       server "ssh http https icmp ping" accept
       client "icmp dns ping"  accept

X

xmoonlight, 2016-10-19
@xmoonlight

Разместите на нормальном хостинге и забудьте об этой проблеме.