Firewalls y ArcGIS Server

¿Qué hace un firewall?

Cada equipo tiene miles de puertos a través de los cuales otros equipos pueden enviar información. Un firewall es un mecanismo de seguridad que limita la cantidad de puertos en el equipo a través de los cuales otros equipos pueden comunicarse. Cuando utiliza un firewall para restringir la comunicación a una pequeña cantidad de puertos, puede controlar mejor esos puertos para evitar un ataque. Además, puede configurar el firewall para restringir la comunicación a un puerto conocido sólo por usted.

Los firewalls se pueden implementar a través del hardware, del software o de una combinación de ambos. Los firewalls funcionan mejor en la detección de ataques que pueden entrar o salir del sistema a través de un puerto abierto, como gusanos y algunos caballos de Troya. Estos no lo protegen de virus adjuntados a correos electrónicos o de amenazas dentro de la red. Por lo tanto, si bien los firewalls son importantes, no deben ser el único componente de la estrategia de seguridad general. El software antivirus y las técnicas de autorización y autenticación sólidas son ejemplos de otras estrategias de seguridad que se deben implementar en conjunto con los firewalls.

Proteger un servidor SIG con firewalls

Esri no recomienda ni admite firewalls entre los componentes de ArcGIS Server. Esto incluye firewalls entre el ADF Web y el servidor SIG, así como también firewalls entre el administrador de objetos de servidor (SOM) y el contenedor de objetos de servidor (SOC). La técnica recomendada para proteger un sistema de ArcGIS Server con firewalls es configurar un servidor proxy Web invertido dentro de una red perimetral (también conocida como zona desmilitarizada [DMZ] o subred filtrada). En este escenario, el servidor proxy Web inverso recibe solicitudes de HTTP entrantes a través de un firewall que restringe el tráfico a un puerto conocido (por lo general el puerto 80). De este modo, se envía la solicitud a través de otro firewall, mediante un puerto desconocido para el usuario final, al servidor de ADF Web en una red interna segura. El servidor de ADF Web es libre para establecer comunicaciones DCOM no restringidas con otros componentes de ArcGIS Server. De esta forma, el servidor SIG opera dentro de una red interna segura y no requiere firewalls entre sus componentes.

A continuación, hay un análisis más detallado de cada componente en esta situación:

• Una red perimetral consiste en equipos a los que pueden acceder los usuarios de Internet a través de un firewall pero que no forman parte de la red interna de seguridad. La red perimetral aísla todos los componentes del sistema de ArcGIS Server, que incluye el ADF, SOM y SOC, del acceso directo de clientes de Internet.
• El servidor proxy Web inverso en la red perimetral recibe solicitudes de Internet a través de un puerto común, como el puerto 80. Un firewall impide el acceso a través de cualquier otro puerto. El servidor proxy inverso envía la solicitud a la red interna segura a través de otro firewall, redireccionándola a través de un puerto desconocido al cliente original.
• El servidor Web que aloja el ADF, SOM, SOC y los servidores de datos forman parte de la red interna segura. Una solicitud que entra a la red segura debe provenir del servidor proxy inverso y pasar por un firewall. Una respuesta que deja la red segura vuelve al cliente de la misma manera en que llegó. Primero, la respuesta pasa de nuevo a través del firewall al servidor proxy inverso. Después, el servidor proxy inverso la envía a través de otro firewall al cliente.

En el artículo de base de conocimiento 32634 de Esri se describe un procedimiento para configurar ArcGIS Server para Microsoft .NET Framework para que funcione con un servidor proxy Web inverso.