【51CTO.com 独家特稿】拓扑说明:
网络出口安装UTM 防火墙(根据流量需要,独立选择防火墙各功能模块)并启用防毒功能,不对外开启设备管理功能,提高防火墙在外网边缘的安全性;开启SYSLOG 服务,将通过防火墙的所有流量以SYSLOG 方式发送至H3C 管理中心,由该设备分类管理、统计 流量;将HTTP 口映射至内部的F5 负载均衡设备,最小化外网对于内网的权限访问。开启 防毒功能后,保护一旦服务器被攻破后上传非法木马等非法软件。
核心三层交换机划分VLAN,将不同类型的服务器划分至不同VLAN。其中,两台WEB服务器划分至同一VLAN,将默认网关指定F5 内网地址;数据库服务器划分在一个VLAN,默认网关指定核心三层交换机;FTP 服务器划分至一个VLAN,默认网关指定至三层交换机。
在各VLAN 中配置ACL,根据需要,只允许指定的流量,毕免当一台服务器被攻击破并被上传后门程序后,作为黑客“跳板”至其他服务器。
F5 负载均衡设置为单臂方式,在交换机中分别将F5 内、外接口划分至不同VLAN,内、外部接口配置地址,确保设备与网络的互通;F5 可针对于内网WEB 服务器的管理性能、延 时等多种条件智能管理两台服务器的流量均衡。
服务器前端安装IPS (如可选配置成透明方式),当服务器被黑客攻击但UTM 无法识别为攻击时,服务器前端的IPS 设备可保护服务器的安全;开启SYSLOG 服务,将目标SYSLOG服务器定义为H3C 安全管理中心,通过IPS 的所有流量全部发送至管理中心。
数据库、FTP 服务器前端安装IDS 设备,并开启SYSLOG 服务,该设备只记录攻击信息并生成攻击日志,以多种方式向管理员告警;同时,IDS 通过SYSLOG 方式将截取的流量信息发至H3C 安全管理中心。
H3C 管理中心可收集网络中各种设备的流量信息(需要网络设备开启SYSLOG 服务并将服务器提定为H3C 管理中心),生成管理表格并分类,通过设备本身的分析功能将各类流量分析为不同的警告等级,当UTM、IPS、IDS 等设备无法拦截或记录攻击方法时,管理中心可作为最后一道安全信息记录分析系统,将攻击警告以多种提示方式发送至管理员接收设备。服务器(windows 系统)只开启相关服务的指定端口,将其他无用端口如:445、135、139 等端口关闭,同时更改默认管理员的口令,并满足复杂性要求;服务器开启审计功能,对登入事件等审计失败、成功;配置WMI 将各种日志信息发送至H3C 安全管理中心;启用安全策略,更改默认登入错误次数的锁定(如更改为错误2 次以上锁定系统30 分等)。
【编辑推荐】
