划域部署IPS和抗拒绝服务系统(拯救赵明)
创始人
2024-06-28 19:00:46
0

【51CTO.com 综合消息】方案概述

随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的政府、企业建立了依赖于网络的业务信息系统,比如门户网站、电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类Web应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,便利了工作,也极大丰富了人们的生活。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。

1.1 需求分析

赵明所处网站对外提供的服务及业务系统通过负载均衡设备实现与互联网的连接;没有任何安全防护措施,使重要的Web服务区及众多的数据服务器暴露在巨大安全威胁下面。

1.2 具体措施

划分安全域

依据赵明网站系统应用和相关设备的重要程度以及不同的用户访问方式,将网络系统划分为WEB服务区(WEB服务器)、关键应用区(数据库服务器)、普通应用区和核心数据区(备份服务器)四个安全域。通过安全域的划分,可以分散安全风险,实现纵深防御。

通过对赵明网站系统划分不同的安全区域,各区域功能不同,相应的安全级别也不同,我们可以通过防火墙设置不同的安全策略,实现对不同区域不同访问控制策略,提高整体网络的安全性。网络拓扑结构如下(加绿处):  

如上所示,在安全域部署方式上,将WEB服务区设备通过边界防火墙部署在网络边界与互联网连接外,关键应用、普通应用区和核心数据区设备依次部署在WEB服务区后侧,形成WEB服务-中间应用-数据存储的三层结构。

部署网络入侵保护系统(NIPS)

建议串联部署网络入侵保护系统(NIPS),目的是满足等级保护的要求。

网络入侵保护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。NIPS是通过直接串联到网络链路中而实现这一功能的,即NIPS接收到Internet数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。

在赵明网站系统部署NIPS是有必要的,一方面,NIPS检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络,克服了IDS只是作为检测设备的不足;另一方面,NIPS往往具有防火墙的功能,可以进一步增强对网络的访问控制。

部署抗拒绝服务系统

拒绝服务攻击,特别是网络拒绝服务攻击造成的危害是相当严重的,可能造成服务无法访问,甚至数据损坏和丢失,从而给被攻击的客户带来大量金钱、人力、时间上的巨大损失。

由于网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDOS攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。因此,对骨干设备的防护也是整个网络环境的关键。  

利用天融信的DDOS防护功能可以抵御小规模的DDOS攻击,由于通用操作系统和网络设备需要更多的从功能和网络效率方面进行设计和实现,通过简单的系统或者设备配置无法降低拒绝服务攻击的危害。因此,为了抵御日益增长的DDOS攻击,我们建议部署抗拒绝服务系统,以保障赵明网站系统的可用性。  

相关内容

热门资讯

PHP新手之PHP入门 PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什... 《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详... 千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805... “霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据... 在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡 负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机 最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控... 本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...