【51CTO.com 獨家特稿】拓撲說明：                                       

網(wǎng)絡(luò)出口安裝UTM 防火墻（根據(jù)流量需要，獨立選擇防火墻各功能模塊）并啟用防毒功能，不對外開啟設(shè)備管理功能，提高防火墻在外網(wǎng)邊緣的安全性；開啟SYSLOG 服務(wù)，將通過防火墻的所有流量以SYSLOG 方式發(fā)送至H3C 管理中心，由該設(shè)備分類管理、統(tǒng)計 流量；將HTTP  口映射至內(nèi)部的F5 負載均衡設(shè)備，最小化外網(wǎng)對于內(nèi)網(wǎng)的權(quán)限訪問。開啟  防毒功能后，保護一旦服務(wù)器被攻破后上傳非法木馬等非法軟件。

 核心三層交換機劃分VLAN，將不同類型的服務(wù)器劃分至不同VLAN。其中，兩臺WEB服務(wù)器劃分至同一VLAN，將默認網(wǎng)關(guān)指定F5  內(nèi)網(wǎng)地址；數(shù)據(jù)庫服務(wù)器劃分在一個VLAN，默認網(wǎng)關(guān)指定核心三層交換機；FTP 服務(wù)器劃分至一個VLAN，默認網(wǎng)關(guān)指定至三層交換機。

在各VLAN  中配置ACL，根據(jù)需要，只允許指定的流量，畢免當一臺服務(wù)器被攻擊破并被上傳后門程序后，作為黑客“跳板”至其他服務(wù)器。

F5 負載均衡設(shè)置為單臂方式，在交換機中分別將F5  內(nèi)、外接口劃分至不同VLAN，內(nèi)、外部接口配置地址，確保設(shè)備與網(wǎng)絡(luò)的互通；F5 可針對于內(nèi)網(wǎng)WEB 服務(wù)器的管理性能、延 時等多種條件智能管理兩臺服務(wù)器的流量均衡。

服務(wù)器前端安裝IPS （如可選配置成透明方式），當服務(wù)器被黑客攻擊但UTM 無法識別為攻擊時，服務(wù)器前端的IPS 設(shè)備可保護服務(wù)器的安全；開啟SYSLOG 服務(wù)，將目標SYSLOG服務(wù)器定義為H3C 安全管理中心，通過IPS 的所有流量全部發(fā)送至管理中心。

數(shù)據(jù)庫、FTP 服務(wù)器前端安裝IDS 設(shè)備，并開啟SYSLOG 服務(wù)，該設(shè)備只記錄攻擊信息并生成攻擊日志，以多種方式向管理員告警；同時，IDS 通過SYSLOG 方式將截取的流量信息發(fā)至H3C 安全管理中心。

H3C 管理中心可收集網(wǎng)絡(luò)中各種設(shè)備的流量信息（需要網(wǎng)絡(luò)設(shè)備開啟SYSLOG 服務(wù)并將服務(wù)器提定為H3C 管理中心），生成管理表格并分類，通過設(shè)備本身的分析功能將各類流量分析為不同的警告等級，當UTM、IPS、IDS 等設(shè)備無法攔截或記錄攻擊方法時，管理中心可作為最后一道安全信息記錄分析系統(tǒng)，將攻擊警告以多種提示方式發(fā)送至管理員接收設(shè)備。服務(wù)器（windows 系統(tǒng)）只開啟相關(guān)服務(wù)的指定端口，將其他無用端口如：445、135、139 等端口關(guān)閉，同時更改默認管理員的口令，并滿足復(fù)雜性要求；服務(wù)器開啟審計功能，對登入事件等審計失敗、成功；配置WMI 將各種日志信息發(fā)送至H3C 安全管理中心；啟用安全策略，更改默認登入錯誤次數(shù)的鎖定（如更改為錯誤2 次以上鎖定系統(tǒng)30 分等）。

【編輯推薦】

1. Juniper防火墻加綠盟冰之眼加固網(wǎng)站(拯救趙明)
2. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護解決方案