Рисунок 4.3 - Створення демілітаризованої зони (DMZ)

              У DMZ дві основні переваги:
                вони захищають сервери і веб-додатки і від внутрішніх, і від зовнішніх атак;
                вони  додатково  захищають  внутрішні  мережі,  будучи  ще  одним  шаром  захисту  між
        корпоративною  мережею  та  Інтернетом.Проектування,  інсталяція  та  супровід  DMZ  необхідно
        координувати з мережевими адміністраторами з урахуванням розміщення в мережі веб-додатків.
              Підготуйтеся до DoS - та DDoS-атак. Одна з найбільш серйозних з відомих у даний час атак - це
        атака відмови в обслуговуванні (Denial of Service - DoS), про яку вже згадувалося. Мережеві DoS-атаки
        і  ще  більш  небезпечні  розподілені  атаки  відмови  в  обслуговуванні  (Distributed  Denial  of  Service  -
        DDoS) використовують зламані комп'ютери, черв'яків або інші хитрощі. Вони використовують слабкі
        місця в ПЗ або навіть особливості таких протоколів як TCP/IP, щоб завалити запитами який-небудь
        комп'ютер, і він не зміг відповідати на запити з'єднання від нормальних клієнтів.На жаль, від такого
        роду  атак  дуже  важко  захиститися.  Деякі  постачальники  мережевого  устаткування  продають
        апаратуру, яка може знизити ризик і вплив DoS-атак, але надійного захисту від них до цих пір немає.
        Ваш мережевий адміністратор повинен, принаймні, вивчити цю проблему і з’ясувати її суть та ризики,
        з  якими  можуть  зіткнутися  ваша  мережа.  У  співпраці  з  Інтернет-провайдером  (або  тим,  у  кого  є
        машини, на яких працюють ваші веб-додатки) ви зможете підготуватися до можливих атак подібного
        роду. Якщо атака буде проведена і не на ваші конкретні сервери, вони все одно можуть постраждати.

              4.10 Захист комп'ютера і операційної системи

              І останнє,  про  захист  чого  потрібно  подбати  -  це  сервер,  на  якому  працює  веб-додаток.  Існує
        кілька способів такого захисту.
              Своєчасне  оновлення  операційної  системи.  Один  з  найбільш  легких  способів  захисту
        комп'ютера - максимально швидке оновлення. Як тільки ви вибрали конкретну операційну систему в
        якості  виробничого  середовища,  вам  слід  налаштуватися  на  виконання  регулярних  оновлень  і
        застосування  виправлень  безпеки  для  цієї  операційної  системи.  Періодично  треба  переглядати
        ресурси,  де  публікуються  нові  попередження,  виправлення  або  оновлення.  Де  саме  ви  будете
        отримувати відомості про виявлені вразливості, залежить від операційної системи та інших програм.
        Зазвичай їх можна отримати у постачальника, у якого була куплена операційна система - особливо у
        випадку  Microsoft  Windows,  Red  Hat  або  SuSE  Linux,  або  Solaris  Operating  System  компанії  Sun
        Microsystem. Для інших операційних систем, на кшталт FreeBSD, Ubuntu Linux або OpenBSD, можна
        зайти на веб-сайт відповідного співтовариства і побачити рекомендовані виправлення безпеки. У разі
        будь-яких  оновлень  ПО  необхідне  експериментальне  середовище,  в  якому  можна  перевірити
        коректність  встановлення  і  дію  цих  виправлень,  перш  ніж  виконати  ці  оновлення  на  виробничих
        серверах. Так ви зможете перевірити, що у вашому веб-додатку нічого не порушується, до того, як ця
        проблема спливе на робочих серверах. Слід уважно ставитися до оновлень і виправлень безпеки. Якщо
        для вашої операційної системи вийшло виправлення безпеки, щодо роботи підсистеми FireWire, а  у

                                                            98