22.13. Предотвращение доступа к веб-сайтам локальных сетей из Интернета
Проблема
В вашей локальной сети может быть создан персональный веб-сайт для хранения календарей, документов и других данных. Возможно, ваша компания решила создать для каждого отдела отдельный веб-сайт, который нужно изолировать от внешнего мира. Хотя локальная сеть защищена, необходимо убедиться, что доступ к таким веб-сайтам из Интернета невозможен.
Решение
Для достижения этой цели можно использовать несколько подходов в зависимости от типа веб-сайта. Настройка фильтрации для виртуальных хостов или автономных сайтов Apache рассматривается в этом разделе. Если речь идёт о сайтах, использующих конфигурацию UserDir (см. Раздел 22.8), обратитесь к Разделу 22.14.
Для ограничения доступа к сайту рамками локальной сети, подсети или определёнными доменными именами можно настроить фильтрацию по IP-адресам. Ниже приведён пример для конфигурации виртуального хоста:
<VirtualHost *:80>
ServerName www.bratgrrl.com
ServerAlias bratgrrl.com *.bratgrrl.com
DocumentRoot /var/www/bratgrrl
ServerAdmin admin@bratgrrl.com
Order deny,allow
Allow from 192.168.1.
Deny from all
</VirtualHost>
Эта настройка разрешает доступ к сайту только с IP-адресов, начинающихся с 192.168.1.
, что ограничивает доступ пользователями локальной сети. Внешние IP-адреса будут заблокированы.
Для фильтрации по доменным именам настройка будет выглядеть так:
Allow from oreilly.net
Здесь доступ разрешён только с доменов oreilly.net
и его поддоменов.
Комментарий
Во многих компаниях существуют «внутренние» веб-сайты, предназначенные только для сотрудников. Даже если в сети настроены брандмауэры, задание правил доступа в конфигурации Apache добавит дополнительный уровень защиты, уменьшая вероятность случайного утечки данных.
Для страниц UserDir с URL-адресами вида oreilly.net/~carla
защита должна осуществляться на уровне каталогов, а не доменных имён (см. следующий раздел).
Помимо настроек Apache, также можно использовать брандмауэр на уровне сервера для блокировки внешних IP-адресов, добавив фильтры, обеспечивающие доступ только из определённых диапазонов IP. Это гарантирует, что даже в случае изменений в Apache внешние пользователи не смогут получить доступ к внутренним ресурсам.
Важно помнить, что фильтрация по IP-адресам не является абсолютно надёжным методом для критически важных данных, так как IP-адреса могут изменяться. Для максимальной безопасности рекомендуется совмещать IP-фильтрацию с системой аутентификации и контролем на уровне сети.
См. также