Firewalls y ArcGIS Server
¿Qué hace un firewall?
Cada equipo tiene miles de puertos a través de los cuales otros equipos pueden enviar información. Un firewall es un mecanismo de seguridad que limita la cantidad de puertos en el equipo a través de los cuales otros equipos pueden comunicarse. Cuando utiliza un firewall para restringir la comunicación a una pequeña cantidad de puertos, puede controlar mejor esos puertos para evitar un ataque. Además, puede configurar el firewall para restringir la comunicación a un puerto conocido solo por usted.
Los firewalls se pueden implementar a través del hardware, del software o de una combinación de ambos. Los firewalls funcionan mejor en la detección de ataques, como gusanos y algunos troyanos, que pueden entrar o salir del sistema a través de un puerto abierto. Estos no lo protegen de virus adjuntados a correos electrónicos o de amenazas dentro de la red. Por lo tanto, si bien los firewalls son importantes, no deben ser el único componente de la estrategia de seguridad general. El software antivirus y las técnicas de autorización y autenticación sólidas son ejemplos de otras estrategias de seguridad que se deben implementar en conjunto con los firewalls.
Proteger ArcGIS Server con firewalls
Hay varias estrategias adecuadas que puede tomar para proteger su sitio de ArcGIS Server con firewalls. Los siguientes estrategias utilizan firewalls para separar la red interna (en el que la seguridad es regulado) de la red exteriores (en la que la seguridad no puede ser garantizada).
Firewall único
La más sencilla y menos segura de las dos opciones utiliza un firewall único para restringir el tráfico a su servidor Web. Normalmente, solo el puerto 80 queda abierto. El servidor Web, ArcGIS Web Adaptor, el servidor SIG y los datos se encontrarán detrás del firewall, en la red interna protegida.
 |
En el escenario de firewall único, se coloca un firewall entre la red externa y el servidor Web. |
Múltiples firewalls con proxy inverso y Web Adaptor en una red perimetral
Un método más seguro, pero también más complejo, consiste en configurar el servidor Web y el adaptador Web dentro de una red perimetral (también conocida como zona desmilitarizada [DMZ] o subred filtrada). En esta situación, el adaptador Web recibe solicitudes entrantes a través del puerto 80. A continuación, envía la solicitud a través de otro firewall al servidor SIG, mediante el puerto 6080. El adaptador Web hace que el equipo actúe como proxy inverso.
 |
En el escenario de varios firewalls, los firewalls se colocan en cualquiera de los lados de un proxy inverso. |
A continuación, hay un análisis más detallado de cada componente en esta situación:
- Una red perimetral consiste en equipos a los que pueden acceder los usuarios de Internet a través de un firewall pero que no forman parte de la red interna de seguridad. La red perimetral aísla la red interna del acceso directo de clientes de Internet.
- El adaptador Web, en la red perimetral, recibe solicitudes de Internet a través de un puerto común, como el puerto 80. Un firewall impide el acceso a través de cualquier otro puerto. A continuación, el adaptador Web envía la solicitud a la red interna protegida a través de otro firewall, utilizando otro puerto.
- El servidor SIG y el servidor de datos (si hay uno) residen en la red interna segura. Una solicitud que entre a la red protegida debe provenir del adaptador Web y pasar por un firewall. Una respuesta que deja la red segura vuelve al cliente de la misma manera en que llegó. En primer lugar, la respuesta vuelve a pasar por el firewall hasta el adaptador Web. A continuación, el adaptador Web la envía al cliente a través de otro firewall.
Si un equipo en la red perimetral de alguna manera se ve comprometido, el segundo firewall reduce la posibilidad de que los equipos afectados puedan perjudicar los equipos en la red interna.
Integración con un proxy inverso existente
Si su organización ya utiliza un proxy inverso, puede configurarlo para encaminar las solicitudes a ArcGIS Server por su red interna segura. La opción más básica es conectar directamente al servidor SIG a través del puerto 6080 sin instalar Web Adaptor.
Si desea que el puerto entre el proxy inverso y la red interna segura permanezca oculto, puede instalar Web Adaptor en otro servidor Web dentro de la red interna segura. Este Web Adaptor se puede configurar para aceptar tráfico a través del puerto que se desee.
Puede añadir directamente su sitio de ArcGIS Server a las directivas del proxy. Por ejemplo, si utiliza Apache como proxy inverso, entonces deberá agregar su sitio de ArcGIS Server a las directivas ProxyPass del archivo de configuración del servidor Web Apache httpd.conf:
ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis
ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis
Inmersión:Si se utiliza un proxy inverso y la URL de su sitio no termina con la cadena predeterminada /arcgis (todo en minúsculas), también se deberá asignar la propiedad WebContextURL de ArcGIS Server. Esto ayuda a ArcGIS Server a construir las direcciones URL de todos los recursos que envía al usuario final. Para cambiar WebContextURL, haga lo siguiente:
Inicie sesión en el Directorio del ArcGIS Server Manager en http://gisserver.domain.com:6080/arcgis/admin con un usuario que tenga privilegios de administrador.
Haga clic en sistema > propiedades > actualizar.
En el cuadro de texto Propiedades, escriba el JSON siguiente, sustituyendo a la dirección URL de su propio ArcGIS Server tal como la ven los usuarios de fuera del firewall de su organización.
{ "WebContextURL": "http://gisserver.domain.com/mygis" }- Haga clic en Actualizar.
Reinicie ArcGIS Server en todos los servidores SIG del sitio. En Linux puede hacerse ejecutando las secuencias de comandos stopserver y startserver situadas en la carpeta de instalación de cada equipo.
Firewalls entre equipos del servidor SIG
Normalmente no es necesario que coloque firewalls entre los equipos del servidor SIG. Sin embargo, si no tiene los firewalls entre los equipos, debería abrir los puertos enumerados en Los puertos que utiliza ArcGIS Server.