22.13. Предотвращение доступа к веб-сайтам локальных сетей из Интернета

Проблема

В вашей локальной сети может быть создан персональный веб-сайт для хранения календарей, документов и других данных. Возможно, ваша компания решила создать для каждого отдела отдельный веб-сайт, который нужно изолировать от внешнего мира. Хотя локальная сеть защищена, необходимо убедиться, что доступ к таким веб-сайтам из Интернета невозможен.

Решение

Для достижения этой цели можно использовать несколько подходов в зависимости от типа веб-сайта. Настройка фильтрации для виртуальных хостов или автономных сайтов Apache рассматривается в этом разделе. Если речь идёт о сайтах, использующих конфигурацию UserDir (см. Раздел 22.8), обратитесь к Разделу 22.14.

Для ограничения доступа к сайту рамками локальной сети, подсети или определёнными доменными именами можно настроить фильтрацию по IP-адресам. Ниже приведён пример для конфигурации виртуального хоста: 

<VirtualHost *:80>
    ServerName www.bratgrrl.com
    ServerAlias bratgrrl.com *.bratgrrl.com
    DocumentRoot /var/www/bratgrrl
    ServerAdmin admin@bratgrrl.com
    Order deny,allow
    Allow from 192.168.1.
    Deny from all
</VirtualHost>

Эта настройка разрешает доступ к сайту только с IP-адресов, начинающихся с 192.168.1., что ограничивает доступ пользователями локальной сети. Внешние IP-адреса будут заблокированы.

Для фильтрации по доменным именам настройка будет выглядеть так:

Allow from oreilly.net

Здесь доступ разрешён только с доменов oreilly.net и его поддоменов.

Комментарий

Во многих компаниях существуют «внутренние» веб-сайты, предназначенные только для сотрудников. Даже если в сети настроены брандмауэры, задание правил доступа в конфигурации Apache добавит дополнительный уровень защиты, уменьшая вероятность случайного утечки данных.

Для страниц UserDir с URL-адресами вида oreilly.net/~carla защита должна осуществляться на уровне каталогов, а не доменных имён (см. следующий раздел).

Помимо настроек Apache, также можно использовать брандмауэр на уровне сервера для блокировки внешних IP-адресов, добавив фильтры, обеспечивающие доступ только из определённых диапазонов IP. Это гарантирует, что даже в случае изменений в Apache внешние пользователи не смогут получить доступ к внутренним ресурсам.

Важно помнить, что фильтрация по IP-адресам не является абсолютно надёжным методом для критически важных данных, так как IP-адреса могут изменяться. Для максимальной безопасности рекомендуется совмещать IP-фильтрацию с системой аутентификации и контролем на уровне сети.

См. также

Раздел 22.14.