我们有许多不同的FTP进程,运行在各种内部服务器上,与外部供应商连接以发送或接收敏感数据文件。 因此,我们没有一个集中的地方来跟踪这些进程并logging正在传输的文件。 同时,我们担心员工将未经批准的文件发送给外部组织,而我们并不知情。 对于那些将文件推送给我们的供应商,我们希望将来他们不会被允许进入我们的networking,即使仅仅通过FTP。 为了解决这些问题,我们正在考虑一个有两个主要目标的解决scheme:
这就是我们的计划:我们将在我们的DMZ中放置一台SFTP服务器,以便与我们的供应商进行交互,以便将来不需要通过我们的防火墙。 然后,我们将在DMZ和内部服务器上设置一个Web服务,通过TCP / IP使用SSL通过我们的防火墙将文件发送给对方。
我希望别人对这个想法有所了解,即:
这对简单文件传输的概念增加了很多复杂性,所以我想在确定我们的devise是坚实的之前,我们开始沿着这条道路。
听起来不错。 用于组织间文件传输的集中式(S)FTP服务器相当普遍。 只要build立(S)FTP服务器尽可能紧密,防止任何意外的连接本地防火墙。
至于编码…没有太多的代码。 只需将日志logging级别设置得相当高,并为每个组织或用户创build唯一的用户帐户。 将任何外部(和大多数内部)用户locking到他们自己的目录。
如果您想进一步考虑它,您还可以将允许连接到服务器的源IP列入白名单。 例如,使外部组织注册其源IP块,并只允许外部连接。