【51CTO.com 綜合消息】方案概述

隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正深刻影響并改變著人類的生活和工作方式。越來(lái)越多的政府、企業(yè)建立了依賴于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng)，比如門戶網(wǎng)站、電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)絡(luò)辦公等；互聯(lián)網(wǎng)企業(yè)提供給用戶各類Web應(yīng)用服務(wù)，如提供信息發(fā)布、信息搜索、電子購(gòu)物、網(wǎng)上游戲等業(yè)務(wù)，便利了工作，也極大豐富了人們的生活?；ヂ?lián)網(wǎng)對(duì)社會(huì)各行各業(yè)產(chǎn)生了巨大深遠(yuǎn)的影響，與此同時(shí)，信息安全的重要性也在不斷提升。

1.1 需求分析

趙明所處網(wǎng)站對(duì)外提供的服務(wù)及業(yè)務(wù)系統(tǒng)通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接；沒(méi)有任何安全防護(hù)措施，使重要的Web服務(wù)區(qū)及眾多的數(shù)據(jù)服務(wù)器暴露在巨大安全威脅下面。

1.2 具體措施

劃分安全域

依據(jù)趙明網(wǎng)站系統(tǒng)應(yīng)用和相關(guān)設(shè)備的重要程度以及不同的用戶訪問(wèn)方式，將網(wǎng)絡(luò)系統(tǒng)劃分為WEB服務(wù)區(qū)（WEB服務(wù)器）、關(guān)鍵應(yīng)用區(qū)（數(shù)據(jù)庫(kù)服務(wù)器）、普通應(yīng)用區(qū)和核心數(shù)據(jù)區(qū)（備份服務(wù)器）四個(gè)安全域。通過(guò)安全域的劃分，可以分散安全風(fēng)險(xiǎn)，實(shí)現(xiàn)縱深防御。

通過(guò)對(duì)趙明網(wǎng)站系統(tǒng)劃分不同的安全區(qū)域，各區(qū)域功能不同，相應(yīng)的安全級(jí)別也不同，我們可以通過(guò)防火墻設(shè)置不同的安全策略，實(shí)現(xiàn)對(duì)不同區(qū)域不同訪問(wèn)控制策略，提高整體網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下（加綠處）：  

如上所示，在安全域部署方式上，將WEB服務(wù)區(qū)設(shè)備通過(guò)邊界防火墻部署在網(wǎng)絡(luò)邊界與互聯(lián)網(wǎng)連接外，關(guān)鍵應(yīng)用、普通應(yīng)用區(qū)和核心數(shù)據(jù)區(qū)設(shè)備依次部署在WEB服務(wù)區(qū)后側(cè)，形成WEB服務(wù)-中間應(yīng)用-數(shù)據(jù)存儲(chǔ)的三層結(jié)構(gòu)。

部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)（NIPS）

建議串聯(lián)部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)（NIPS），目的是滿足等級(jí)保護(hù)的要求。

網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。NIPS是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即NIPS接收到Internet數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

在趙明網(wǎng)站系統(tǒng)部署NIPS是有必要的，一方面，NIPS檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)，克服了IDS只是作為檢測(cè)設(shè)備的不足；另一方面，NIPS往往具有防火墻的功能，可以進(jìn)一步增強(qiáng)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制。

部署抗拒絕服務(wù)系統(tǒng)

拒絕服務(wù)攻擊，特別是網(wǎng)絡(luò)拒絕服務(wù)攻擊造成的危害是相當(dāng)嚴(yán)重的，可能造成服務(wù)無(wú)法訪問(wèn)，甚至數(shù)據(jù)損壞和丟失，從而給被攻擊的客戶帶來(lái)大量金錢、人力、時(shí)間上的巨大損失。

由于網(wǎng)絡(luò)層的拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的漏洞，有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力，使得對(duì)拒絕服務(wù)攻擊的防治，成為了一個(gè)令管理員非常頭痛的問(wèn)題。尤其是目前在大多數(shù)的網(wǎng)絡(luò)環(huán)境骨干線路上普遍使用的防火墻、負(fù)載均衡等設(shè)備，在發(fā)生DDOS攻擊的時(shí)候往往成為整個(gè)網(wǎng)絡(luò)的瓶頸，造成全網(wǎng)的癱瘓。因此，對(duì)骨干設(shè)備的防護(hù)也是整個(gè)網(wǎng)絡(luò)環(huán)境的關(guān)鍵。  

利用天融信的DDOS防護(hù)功能可以抵御小規(guī)模的DDOS攻擊，由于通用操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備需要更多的從功能和網(wǎng)絡(luò)效率方面進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)，通過(guò)簡(jiǎn)單的系統(tǒng)或者設(shè)備配置無(wú)法降低拒絕服務(wù)攻擊的危害。因此，為了抵御日益增長(zhǎng)的DDOS攻擊，我們建議部署抗拒絕服務(wù)系統(tǒng)，以保障趙明網(wǎng)站系統(tǒng)的可用性。