Compartir a través de


Tutorial: Crear una zona de seguridad (primera parte)

Actualización: noviembre 2007

Este tutorial se basa en Tutorial: Crear diagramas de centros de datos lógicos.

En este tutorial, obtendrá información sobre cómo utilizar restricciones definidas por el usuario y restricciones de extremo de zona para crear requisitos muy específicos para los servidores lógicos alojados dentro de esa zona. También obtendrá información sobre cómo crear un prototipo reutilizable de la zona que puede almacenar en el cuadro de herramientas. El primer paso consiste en restringir el tipo de comunicación permitido en la zona. Para este tutorial, trabajará con la zona de seguridad PerimeterNetwork que creó en Tutorial: Crear diagramas de centros de datos lógicos.

Para permitir únicamente tráfico de la zona entrante sobre https en el puerto 443

  1. Haga clic con el botón secundario del mouse en el punto final de zona entrante Internet y haga clic en Configuración y restricciones para ver el Editor de configuración y restricciones.

  2. Bajo Restricciones de comunicación de la zona, desactive las casillas DatabaseServerEndpoint y GenericServerEndpoint.

    Esto evita que los servidores de la base de datos o genéricos se conecten al extremo de zona entrante.

  3. Active la casilla Definido por el usuario bajo WebSiteEndpoint.

  4. Expanda Definido por el usuario y active la casilla Sitio Web en Definido por el usuario.

    Esto le permite escribir las restricciones en sitios Web que se comunican con el extremo de zona entrante, es decir, que se conectan a él.

  5. Haga clic en el encabezado Sitio Web en el panel izquierdo del editor. En el panel derecho, expanda el árbol Autenticación y active la casilla SecureBindings.

  6. En Operador, seleccione Contiene uno.

  7. Haga clic en el campo Valor y, a continuación, haga clic en los puntos suspensivos (...).

    Aparecerá el Editor de la colección ComplexSetting.

  8. Haga clic en Agregar.

  9. Bajo Puerto, escriba 443.

  10. Deje el campo IPAddress en blanco.

  11. Haga clic en Aceptar.

Ahora ha restringido todo el tráfico que pasa por el extremo de zona entrante para que pase por el puerto 443, que controla el tráfico HTTPS. El paso siguiente es restringir los tipos de servidores lógicos que la zona puede contener.

Para restringir el contenido de la zona

  1. Seleccione la forma de la zona y vea el Editor de configuración y restricciones.

  2. En Restricciones de contención de zona, desactive las casillas GenericServer, WindowsClient y Zone.

De esta forma, se está restringiendo la zona y se evita que contenga servidores genéricos (es decir, servidores que pueden alojar cualquier tipo de aplicación), servidores de Windows (es decir, servidores que pueden alojar clientes Windows) o cualquier otra zona. Si intenta colocar cualquiera de esos elementos en la zona desde el cuadro de herramientas o desde cualquier otro lugar en el diagrama de centros de datos lógicos, no podrá hacerlo.

El paso siguiente es agregar un servidor de base de datos a la zona.

Para agregar un servidor de base de datos a la zona

  1. Arrastre un DatabaseServer hasta el diagrama desde el Cuadro de herramientas y colóquelo dentro de la zona PerimeterNetwork.

  2. Asigne el nombre SessionStore al servidor.

    Este servidor se utilizará para almacenar la información del estado de sesión SQL del servidor web HardenedIIS.

  3. Seleccione el punto final de proveedor en SessionStore, presione ALT y conéctelo a HardenedIIS.

El paso siguiente es escribir una restricción de zona que evita que los servidores Web alojen servicios Web.

Para restringir a los servidores Web de alojar servicios Web

  1. Haga clic en la zona.

  2. En Restricciones de contención de zona, expanda IISWebServer, active la casilla Definido por el usuario, active la casilla InternetInformationServices y finalmente active la casilla Sitios Web.

  3. Haga clic en el nodo Sitios web en el panel izquierdo y expanda el nodo Contenido en el panel derecho del Editor de configuración y restricciones.

  4. Seleccione ScriptMaps.

    Nota:

    Si en el panel izquierdo del editor está seleccionado Sitio Web en lugar de Sitios Web, la sección ScriptMaps no se mostrará en Contenido.

  5. Bajo Operador, elija No contiene ninguno en el cuadro de lista.

  6. Haga clic en el campo Valor y, a continuación, haga clic en los puntos suspensivos (...).

    Aparecerá el Editor de la colección ComplexSetting.

  7. Haga clic en Agregar.

  8. Bajo FileExtension, escriba .asmx.

  9. Bajo IncludedVerbs, escriba GET,HEAD,POST,DEBUG.

    Nota:

    Escriba exactamente esta cadena tal y como aparece. Si agrega espacios, o cambia el orden de los verbos, esta restricción no funcionará.

  10. Establezca el valor de Script en True.

  11. Bajo ScriptProcessor, escriba la ruta de acceso a aspnet_isapi.dll. (%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll)

  12. Haga clic en Aceptar.

Esta restricción evita que los servicios Web se alojen en los servidores Web dentro de la red perimetral. Lo hace restringiendo que cualquier servidor Web pueda alojar sitios Web que permiten que se ejecuten ciertas asignaciones de secuencias de comandos. Como esta restricción está creada en la misma zona, cualquier servidor Web situado dentro de la zona se evaluará en esta restricción así como las aplicaciones alojadas en el servidor Web.

El paso final es crear una versión reutilizable de esta zona que sea accesible desde el cuadro de herramientas y que se pueda compartir con otros miembros de su organización.

Para crear un prototipo reutilizable de la zona de PerimeterNetwork

  1. Haga clic en la zona.

  2. En el menú Diagrama, elija Agregar al cuadro de herramientas.

    Aparecerá el cuadro de diálogo Agregar al cuadro de herramientas.

  3. Bajo Nombre, escriba PerimeterNetwork y haga clic en Aceptar.

    Aparecerá el cuadro de diálogo Guardar archivo. El archivo se guarda como un archivo .lddprototype, lo que significa que es un prototipo que se puede utilizar en el Diseñador de centros de datos lógicos.

  4. Haga clic en Guardar.

  5. Abra el Cuadro de herramientas y arrastre PerimeterNetwork hasta el diagrama.

Al crear este prototipo, ha creado una versión personalizada de la zona PerimeterNetwork que puede volver a utilizar en cualquier diagrama de centros de datos lógicos que cree o edite. Este prototipo se mostrará siempre que cree una nueva solución de sistemas distribuidos. Es una función de los diseñadores y no la solución que estaba abierta cuando la creó.

Otros usuarios del Diseñador de sistemas distribuidos pueden compartir este prototipo colocando una copia del archivo .lddprototype en la carpeta de prototipos predeterminada, que normalmente se encuentra en %Archivos de programa%\Microsoft Visual Studio <número de versión>\Common7\Tools\DesignerPrototypes\Prototypes. Para obtener más información sobre cómo crear prototipos reutilizables en el Diseñador de centros de datos lógicos, vea Cómo: Crear prototipos personalizados a partir de zonas y servidores lógicos configurados. Para obtener más información sobre cómo redistribuir estos prototipos a otros usuarios, vea Cómo: Importar o instalar nuevos prototipos personalizados.

Pasos siguientes

En la segunda parte de este tutorial, obtendrá información sobre cómo hacer lo siguiente:

  • Establecer una directiva para las aplicaciones hospedadas en HardenedIIS.

  • Importar la configuración de un servidor de IIS configurado existente a HardenedIIS.

  • Evaluar la implementación de un servicio web en HardenedIIS.

Vea también

Tareas

Tutorial: Crear una zona de seguridad (segunda parte)

Otros recursos

Tutoriales de diseño y configuración de centros de datos lógicos