铁桶阵保护-赵明网络整改方案(拯救赵明)

原创
安全 应用安全
网络出口安装UTM 防火墙(根据流量需要,独立选择防火墙各功能模块)并启用防毒功能,不对外开启设备管理功能,提高防火墙在外网边缘的安全性;开启SYSLOG 服务,将通过防火墙的所有流量以SYSLOG 方式发送至H3C 管理中心,由该设备分类管理、统计 流量;将HTTP 口映射至内部的F5 负载均衡设备,最小化外网对于内网的权限访问。开启 防毒功能后,保护一旦服务器被攻破后上传非法木马等非法软件。

 

 

【51CTO.com 独家特稿】拓扑说明:                                       

网络出口安装UTM 防火墙(根据流量需要,独立选择防火墙各功能模块)并启用防毒功能,不对外开启设备管理功能,提高防火墙在外网边缘的安全性;开启SYSLOG 服务,将通过防火墙的所有流量以SYSLOG 方式发送至H3C 管理中心,由该设备分类管理、统计 流量;将HTTP  口映射至内部的F5 负载均衡设备,最小化外网对于内网的权限访问。开启  防毒功能后,保护一旦服务器被攻破后上传非法木马等非法软件。

 核心三层交换机划分VLAN,将不同类型的服务器划分至不同VLAN。其中,两台WEB服务器划分至同一VLAN,将默认网关指定F5  内网地址;数据库服务器划分在一个VLAN,默认网关指定核心三层交换机;FTP 服务器划分至一个VLAN,默认网关指定至三层交换机。

在各VLAN  中配置ACL,根据需要,只允许指定的流量,毕免当一台服务器被攻击破并被上传后门程序后,作为黑客“跳板”至其他服务器。

F5 负载均衡设置为单臂方式,在交换机中分别将F5  内、外接口划分至不同VLAN,内、外部接口配置地址,确保设备与网络的互通;F5 可针对于内网WEB 服务器的管理性能、延 时等多种条件智能管理两台服务器的流量均衡。

服务器前端安装IPS (如可选配置成透明方式),当服务器被黑客攻击但UTM 无法识别为攻击时,服务器前端的IPS 设备可保护服务器的安全;开启SYSLOG 服务,将目标SYSLOG服务器定义为H3C 安全管理中心,通过IPS 的所有流量全部发送至管理中心。

数据库、FTP 服务器前端安装IDS 设备,并开启SYSLOG 服务,该设备只记录攻击信息并生成攻击日志,以多种方式向管理员告警;同时,IDS 通过SYSLOG 方式将截取的流量信息发至H3C 安全管理中心。

H3C 管理中心可收集网络中各种设备的流量信息(需要网络设备开启SYSLOG 服务并将服务器提定为H3C 管理中心),生成管理表格并分类,通过设备本身的分析功能将各类流量分析为不同的警告等级,当UTM、IPS、IDS 等设备无法拦截或记录攻击方法时,管理中心可作为最后一道安全信息记录分析系统,将攻击警告以多种提示方式发送至管理员接收设备。服务器(windows 系统)只开启相关服务的指定端口,将其他无用端口如:445、135、139 等端口关闭,同时更改默认管理员的口令,并满足复杂性要求;服务器开启审计功能,对登入事件等审计失败、成功;配置WMI 将各种日志信息发送至H3C 安全管理中心;启用安全策略,更改默认登入错误次数的锁定(如更改为错误2 次以上锁定系统30 分等)。

【编辑推荐】

  1. Juniper防火墙加绿盟冰之眼加固网站(拯救赵明)
  2. 看WEB应用防火墙的网站整体防护解决方案
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-04-20 21:55:36

2010-04-21 11:26:55

2010-05-26 09:52:58

2010-05-31 14:31:51

2010-06-12 11:49:03

2010-04-21 11:00:41

2010-04-13 00:13:24

2010-06-12 09:27:40

2010-05-24 17:34:38

2010-06-12 15:24:33

2010-05-25 21:56:00

2010-04-13 14:20:32

2010-06-12 15:58:17

2010-04-21 10:26:35

2010-05-31 11:38:00

2010-04-21 10:07:32

2010-04-22 14:39:27

2010-04-21 10:20:48

2010-04-21 10:32:30

2010-05-31 12:13:23

点赞
收藏

51CTO技术栈公众号