【51CTO.com 綜合消息】方案概述

隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正深刻影響并改變著人類的生活和工作方式。越來越多的政府、企業(yè)建立了依賴于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng)，比如門戶網(wǎng)站、電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)絡(luò)辦公等；互聯(lián)網(wǎng)企業(yè)提供給用戶各類Web應(yīng)用服務(wù)，如提供信息發(fā)布、信息搜索、電子購物、網(wǎng)上游戲等業(yè)務(wù)，便利了工作，也極大豐富了人們的生活。互聯(lián)網(wǎng)對社會各行各業(yè)產(chǎn)生了巨大深遠的影響，與此同時，信息安全的重要性也在不斷提升。

1.1 需求分析

趙明所處網(wǎng)站對外提供的服務(wù)及業(yè)務(wù)系統(tǒng)通過負(fù)載均衡設(shè)備實現(xiàn)與互聯(lián)網(wǎng)的連接；沒有任何安全防護措施，使重要的Web服務(wù)區(qū)及眾多的數(shù)據(jù)服務(wù)器暴露在巨大安全威脅下面。

1.2 具體措施

劃分安全域

依據(jù)趙明網(wǎng)站系統(tǒng)應(yīng)用和相關(guān)設(shè)備的重要程度以及不同的用戶訪問方式，將網(wǎng)絡(luò)系統(tǒng)劃分為WEB服務(wù)區(qū)（WEB服務(wù)器）、關(guān)鍵應(yīng)用區(qū)（數(shù)據(jù)庫服務(wù)器）、普通應(yīng)用區(qū)和核心數(shù)據(jù)區(qū)（備份服務(wù)器）四個安全域。通過安全域的劃分，可以分散安全風(fēng)險，實現(xiàn)縱深防御。

通過對趙明網(wǎng)站系統(tǒng)劃分不同的安全區(qū)域，各區(qū)域功能不同，相應(yīng)的安全級別也不同，我們可以通過防火墻設(shè)置不同的安全策略，實現(xiàn)對不同區(qū)域不同訪問控制策略，提高整體網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下（加綠處）：  

如上所示，在安全域部署方式上，將WEB服務(wù)區(qū)設(shè)備通過邊界防火墻部署在網(wǎng)絡(luò)邊界與互聯(lián)網(wǎng)連接外，關(guān)鍵應(yīng)用、普通應(yīng)用區(qū)和核心數(shù)據(jù)區(qū)設(shè)備依次部署在WEB服務(wù)區(qū)后側(cè)，形成WEB服務(wù)-中間應(yīng)用-數(shù)據(jù)存儲的三層結(jié)構(gòu)。

部署網(wǎng)絡(luò)入侵保護系統(tǒng)（NIPS）

建議串聯(lián)部署網(wǎng)絡(luò)入侵保護系統(tǒng)（NIPS），目的是滿足等級保護的要求。

網(wǎng)絡(luò)入侵保護系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。NIPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即NIPS接收到Internet數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。

在趙明網(wǎng)站系統(tǒng)部署NIPS是有必要的，一方面，NIPS檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)，克服了IDS只是作為檢測設(shè)備的不足；另一方面，NIPS往往具有防火墻的功能，可以進一步增強對網(wǎng)絡(luò)的訪問控制。

部署抗拒絕服務(wù)系統(tǒng)

拒絕服務(wù)攻擊，特別是網(wǎng)絡(luò)拒絕服務(wù)攻擊造成的危害是相當(dāng)嚴(yán)重的，可能造成服務(wù)無法訪問，甚至數(shù)據(jù)損壞和丟失，從而給被攻擊的客戶帶來大量金錢、人力、時間上的巨大損失。

由于網(wǎng)絡(luò)層的拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的漏洞，有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力，使得對拒絕服務(wù)攻擊的防治，成為了一個令管理員非常頭痛的問題。尤其是目前在大多數(shù)的網(wǎng)絡(luò)環(huán)境骨干線路上普遍使用的防火墻、負(fù)載均衡等設(shè)備，在發(fā)生DDOS攻擊的時候往往成為整個網(wǎng)絡(luò)的瓶頸，造成全網(wǎng)的癱瘓。因此，對骨干設(shè)備的防護也是整個網(wǎng)絡(luò)環(huán)境的關(guān)鍵。  

利用天融信的DDOS防護功能可以抵御小規(guī)模的DDOS攻擊，由于通用操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備需要更多的從功能和網(wǎng)絡(luò)效率方面進行設(shè)計和實現(xiàn)，通過簡單的系統(tǒng)或者設(shè)備配置無法降低拒絕服務(wù)攻擊的危害。因此，為了抵御日益增長的DDOS攻擊，我們建議部署抗拒絕服務(wù)系統(tǒng)，以保障趙明網(wǎng)站系統(tǒng)的可用性。