Организация доступа к БД через Интернет

	Этапы внедрения
	Инсталляция
	Организация доступа к БД через Интернет (из удаленных филиалов)

Возможность обеспечения работы всех удаленных филиалов компании в рамках единой инфраструткуры делает Hardware Inspector Client/Server просто уникальным. Это значительно облегчает взаимодействие всех подразделений и делает учет прозрачным.

Для обеспечения доступа удаленных филиалов к единой базе данных через сеть Интернет необходимо в центральном офисе настроить функцию "виртуальный сервер" в маршрутизаторе, через который организация подключена к интернет, а также (если интернет раздается через специализированный компьютер) маршрутизацию TCP/IP пакетов из сетевого интерфейса локальной сети на сетевой интерфейс, идущий к маршрутизатору.

Рассмотрим один из примеров организации одновременного доступа к Hardware Inspector Server из сети интернет и локальной сети.

Общая схема работы

В центральном офисе имеем сервер с двумя сетевыми интерфейсами. Один из них «смотрит» в локальную сеть организации и имеет IP-адрес 192.168.1.1. Ко второму сетевому интерфейсу с адресом 192.168.2.1 подключен маршрутизатор, который подключен к интернет-провайдеру.

На сервере установлен прокси-сервер, с помощью которого организован доступ рабочих станций в локальной сети к интернет.

Также на сервере инсталлирован Hardware Inspector Server, который по-умолчанию слушает порт 14584 (а также несколько следующих после него по порядку портов, число которых отображается во вкладке «Настройки»; для примера будем рассматривать, что приложение использует еще и порт 14585) на сетевом интерфейсе с адресом 192.168.2.1 (адрес в сторону интернет-провайдера).

Настройка виртуального сервера на маршрутизаторе

Даже самые дешевые ADSL-модемы и маршрутизаторы позволяют настроить переадресацию TCP/IP пакетов, приходящих из интернет на определенный порт и IP-адрес в локальной сети.

В нашем случае, через интерфейс настройки маршрутизатора (как правило через веб-интерфейс) необходимо создать правило(а), которое будет переадресовывать пакеты приходящие из интернета в порт 14584 (и 14585) на порт 14584 (и 14585) локального адреса 192.168.2.1.

В удаленном же филиале для подключения к серверу на клиентской части нужно будет указать статический внешний IP адрес, через который выходит в интернет центральный офис и порт 14584.

Настройка перенаправления пакетов в прокси-сервере

Так как мы настроили Hardware Inspector Server на 192.168.2.1, который не принадлежит локальной сети, а «смотрит» в сторону провайдера, то нам необходимо настроить переадресацию пакетов из локальной сети на этот адрес.

Для этого в настройках прокси-сервера требуется создать правило(а), которое будет переадресовывать сетевые пакеты приходящие в 192.168.1.1:14584 и 192.168.1.1:14585 на, соответственно, 192.168.2.1:14584 и 192.168.2.1:14585.

При этом для подключения к серверу операторов, находящихся в локальной сети, нужно указывать IP-адрес 192.168.1.1 и порт 14584.

Безопасность

Любое решение, которое предполагает доступ к корпоративным ресурсам извне, должно обеспечивать высокий уровень безопасности. Поэтому данному вопросу было уделено особенно пристальное внимание.

В случае с Hardware Inspector Client/Server используются следующие меры:

• Авторизация пользователя по паролю и уникальному коду сервера.
• Настройка произвольного порта, который используется сервером для входящих соединений.
• Сжатие и кодирование трафика для защиты от снифферов.
• Разграничение прав доступа на уровне дерева оргструктуры, карты, типов устройств и функционала программы. Это позволит для операторов удаленного филиала дать права доступа только к рабочим местам их филиала.
• Отсутствие полного доступа операторов к таблицам базы данных, в отличии от файлового варианта Hardware Inspector.
• Протокол обмена является разработкой нашей компании и публично не документирован, что усложняет его анализ.

Также можно предпринять следующие меры:

• Настройка модема с ограничением диапазона внешних IP адресов, для которых будут работать правила виртуального сервера. То есть только с этих IP-адресов возможно будет подключение к Hardware Inspector Server из сети Интернет.
• Использование VPN для подключения локальной сети филиала к локальной сети центрального офиса.
• Запуск на сервере приложения Hardware Inspector Server под локальным пользователем с ограниченными правами доступа к ресурсам сервера. В частности, можно дать локальному пользователю права на чтение и запись только к папкам жесткого диска, которые реально нужны для работы приложения Hardware Inspector Server.