【51CTO.com 综合消息】方案概述
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的政府、企业建立了依赖于网络的业务信息系统,比如门户网站、电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类Web应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,便利了工作,也极大丰富了人们的生活。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。
1.1 需求分析
赵明所处网站对外提供的服务及业务系统通过负载均衡设备实现与互联网的连接;没有任何安全防护措施,使重要的Web服务区及众多的数据服务器暴露在巨大安全威胁下面。
1.2 具体措施
划分安全域
依据赵明网站系统应用和相关设备的重要程度以及不同的用户访问方式,将网络系统划分为WEB服务区(WEB服务器)、关键应用区(数据库服务器)、普通应用区和核心数据区(备份服务器)四个安全域。通过安全域的划分,可以分散安全风险,实现纵深防御。
通过对赵明网站系统划分不同的安全区域,各区域功能不同,相应的安全级别也不同,我们可以通过防火墙设置不同的安全策略,实现对不同区域不同访问控制策略,提高整体网络的安全性。网络拓扑结构如下(加绿处):
如上所示,在安全域部署方式上,将WEB服务区设备通过边界防火墙部署在网络边界与互联网连接外,关键应用、普通应用区和核心数据区设备依次部署在WEB服务区后侧,形成WEB服务-中间应用-数据存储的三层结构。
部署网络入侵保护系统(NIPS)
建议串联部署网络入侵保护系统(NIPS),目的是满足等级保护的要求。
网络入侵保护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。NIPS是通过直接串联到网络链路中而实现这一功能的,即NIPS接收到Internet数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
在赵明网站系统部署NIPS是有必要的,一方面,NIPS检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络,克服了IDS只是作为检测设备的不足;另一方面,NIPS往往具有防火墙的功能,可以进一步增强对网络的访问控制。
部署抗拒绝服务系统
拒绝服务攻击,特别是网络拒绝服务攻击造成的危害是相当严重的,可能造成服务无法访问,甚至数据损坏和丢失,从而给被攻击的客户带来大量金钱、人力、时间上的巨大损失。
由于网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDOS攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。因此,对骨干设备的防护也是整个网络环境的关键。
利用天融信的DDOS防护功能可以抵御小规模的DDOS攻击,由于通用操作系统和网络设备需要更多的从功能和网络效率方面进行设计和实现,通过简单的系统或者设备配置无法降低拒绝服务攻击的危害。因此,为了抵御日益增长的DDOS攻击,我们建议部署抗拒绝服务系统,以保障赵明网站系统的可用性。
