XX网站安全解决方案.docx
《XX网站安全解决方案.docx》由会员分享,可在线阅读,更多相关《XX网站安全解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
XX网站安全解决方案
XX网站平安解决方案
网络平安解决方案
上海恒驰信息技术有限
1企业面临的威胁
随着计算机与网络通信技术的开展,越来越多的企业活动建立在计算机网络信息系统的根底上。
在信息和网络被广泛应用的今天,Internet上的商务和经济活动的增多对网络系统的平安提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。
Internet攻击行为来自于以下方面:
a〕黑客有目的的远程攻击入侵,造成信息泄露,或者破坏网络、应用和效劳器系统,造成网络、应用和效劳器系统瘫痪;
b〕蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入效劳器后为黑客攻击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;
c〕蠕虫利用操作系统、应用、Web效劳器和邮件系统的弱点进展传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如SqlSlammer、Nimda、“冲击波〞和Nachi蠕虫病毒。
d〕DOS/DDOS攻击的威胁,会造成网络效劳中断。
e〕网络异常流量
1.1应用平安的重要性
随着计算机与网络通信技术的开展,越来越多的企业活动建立在计算机网络信息系统的根底上。
而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的平安提出了很高的要求,解决这些问题的难度也越来越大。
来自Internet的威胁越来越频繁,不断出现的网络攻击,网络病毒,间谍软件,木马程序,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗〞。
通过部署网络防火墙设备,实现:
1.把内网效劳器和Internet做物理隔离,拒绝非法访问
2.基于效劳器的发布,映射效劳器特定端口,给Internet用户提供效劳
3.严格的策略的控制
在web效劳器和Internet的连接局部我们部署一台HillStone系列防火墙。
连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web效劳器需通过HillStone防火墙连接到Internet。
为了内部效劳器,我们需要将防火墙上的端口根据需要划分到不同平安级别的平安区域:
到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。
将防火墙设置为NAT模式。
这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。
HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种效劳。
通过部署网络入侵防护设备,实现:
1.探测出黑客攻击,并且实时阻断黑客的攻击;
2.能够探测出和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;
3.探测异常网络流量,阻止进入自来水公司网络;
4.探测和阻挡DOS/DDOS攻击
McAfeeIntruShield〔IPS〕既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括对抗SynFlood的Syn-Cookie技术。
因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量〔异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入NachPing、SqlSlammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样〕、DOS/DDOS攻击。
2应用平安解决方案
2.1XX网站现状
XX网站是托管在IDC机房,Internet接入交换机,效劳器设置公网IP地址,无任何平安措施,web效劳器完全暴露在公网上,存在很大的平安隐患,还时常遭受黑客的攻击,导致正常访问的中断。
XX网站拓扑构造示意图如下所示:
2.2客户网络现状分析
面临的外部平安威胁:
1.黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和效劳器系统,可能造成网络、应用和效劳器系统瘫痪;
2.蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
3.蠕虫、恶意程序利用操作系统、应用、Web效劳器和邮件系统的弱点进展传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如SqlSlammer、Ni集成商a、“冲击波〞和Nachi蠕虫病毒;
4.面临DOS/DDOS攻击,造成网络效劳中断;
5.P2P、IM等特殊应用缺乏管理和阻断的手段;
6.越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;
7.来自Internet各类平安威胁,没有有效的手段进展评估,并通过高效的措施将其阻断。
2.3XX网站平安解决方案
基于XX网站以上问题,上海恒驰信息处于负责的态度建议客户从网关处部署一整套平安防护系列产品来完善企业网站的平安建立,其中包括:
1.Hillstone平安防火墙
2.McAfeeIntruShield入侵检测设备
根据以上的平安威胁分析,我们需要采取相应措施解决这些平安问题,因此,平安需求可以归纳为以下几方面:
(1)设定严格的策略控制,阻止非授权的访问;
(2)加强网络边界的平安防护手段,准确的检测入侵行为,并能够实时阻断攻击;
(3)能够检测出或未知的各种攻击形式,实时阻断黑客攻击;
(4)能够探测出和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进展传播;
(5)能够检测异常网络流量,有效阻断DoS/DDoS攻击;
(6)能够检测针对网络的加密攻击;
(7)能够对整个客户网络进展实时、准确、全面的入侵防护;
(8)通过现有系统或新购产品,及时识别网络中的平安弱点,并且获得具体的平安弱点的修补建议;
(9)发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的平安;
(10)需要依照全行的平安策略和管理策略,部署先进高效的网络入侵防护产品,并从平安风险管理的角度出发,真正有的放矢地解决网络平安问题;
(11)最后,客户更需要建立一个信息平安管理体系,通过一定的根本原那么和管理流程,整合好目前已经部署和使用的平安产品,真正做到对平安风险的有效管理。
产品部署之后的网络示意图如下:
3部署的产品
3.1Hillstone公司简介
山石网科通信技术〔北京〕〔以下简称“山石网科〞〕创立于2006年,是网络平安领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。
山石网科积累了多年网络平安产品研发和市场运做经历,专注于信息平安,是专业的新一代平安网络设备提供商。
目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由来自Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经历和丰富的企业管理经历。
公司总注册资金475万美金,设有系统架构部,系统运营部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性开展的产业和营销体系。
自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求〞为己任,用产品和方案来帮助客户获得网络平安,从而实现自身的企业价值。
山石网科凭借其独特的效劳精神和强大的技术实力,以国际一流的技术打造适合中国外乡化应用需求的高性能产品,并提供高性价比的新一代网络平安整体解决方案,服务于中国高速开展的网络市场。
作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列平安路由器和SA系列平安网关产品,已经为网络平安领域树立了新的平安网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。
在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络平安稳健和谐开展的新长征中,携手共赢!
3.1.1面向应用的高性能防火墙需求
传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的平安防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP〔网络处理器〕纯硬件防火墙系统。
第三代基于ASIC和NP架构的防火墙可以实现高性能的网络平安防护,对于应用层的平安防护无能为力,应用层完全依靠通用CPU进展处理,包括目前流行的UTM产品,一旦翻开应用层平安防护功能,如P2P/IM平安控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络平安需求。
基于以上原因,Hillstone全线产品采用了创新的新一代网络平安架构,硬件平台采用64位高性能的多核处理器Multi-CoreCPU〔多达16核〕,内部传输采用高达24Gbps高速交换总线,其网络平安的处理能力到达了一个新的起点:
比方,平安产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构平安产品的5到10倍!
64位专用高性能多核处理器的多核并行处理能力为应用层内容平安功能提供了强大的保障,同时又防止了纯ASIC和NP平安系统对会话可管理能力和流量控制能力弱的弊病。
由于新一代64位多核处理器Multi-CoreCPU集成了IPSecVPN、SSLVPN、TCP、QoS、压缩/解压缩以及其他平安功能的芯片级硬件加速功能,使得Hillstone平安产品具有强大高效的VPN和应用层平安处理能力。
采用创新的新一代网络平安架构的Hillstone平安产品提供了更高、更可靠、更稳定和更平安的综合处理能力,开创了新一代网络平安的新纪元。
多达16核的专用64位MIPS处理器具有强大的应用层平安处理能力,众所周知,应用层平安的效率很大程度上依赖于CPU的处理能力,即使基于ASIC/NP架构的平安系统一旦要处理应用层的数据也必须依赖于CPU,而目前平安产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASIC/NP架构而采用纯CPU的架构。
Hillstone采用多核处理器,使得该硬件架构充分考虑到了应用平安和网络平安的平衡,在某些性能指标上有了质的飞越,如作为平安网络产品重要指标之一的每秒新建连接数最高到达了20万/秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone平安产品具有了强大的应用平安处理能力和可扩展能力,为集成更多的应用平安提供了强大的资源保障。
强健的专用实时64位并行操作系统
〔RobustSpecificRealtimeOperatingSystem〕
Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的构造易于集成和扩展平安功能,专用的平安加固的64位操作系统针对新一代多核处理器平安架构进展了全面的优化和平安加固,极大地提高了系统的处理效率、系统稳定性和平安性。
模块化和多线程的处理机制,为Hillstone新一代的网络平安系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多平安功能。
众所周知,操作系统是整个平安设备的核心和根底,平安产品的操作系统必须具有很强的抗攻击能力,而基于软件的平安系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,平安系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。
目前,专用定制的操作系统被广泛采用。
Hillstone平安产品均采用定制的专用操作系统StoneOS。
StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进展了全面优化,使得系统具有更高的处理效率和稳定性。
模块化的系统构造易于继承更多的平安功能,系统具有极强的伸缩性和可扩展性。
任何独立的平安模块出现问题都不会影响整个系统的运行。
高可靠性和稳定性〔HighReliabilityandStability〕
积累多年被证实的专业硬件平安产品研发和市场经历,Hillstone新一代网络平安产品在软硬件的可靠性和稳定性上都有了进一步提高。
全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。
Hillstone平安产品最大程度上确保企业关键业务的不连续运行,提高用户的竞争力。
最低的总体拥有本钱〔LowestTCO〕
Hillstone全线产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。
灵活的特性可以满足不同用户不同应用环境的需求。
独特创新的新一代网络平安架构提供应用户最大化的可扩展能力,最大化地保护用户投资。
Hillstone平安产品解决方案特点:
●创新的新一代网络平安架构
●高性能的综合平安系统
●高可靠性和扩展性
●高性价比
●丰富的平安特性
●最低的TCO
●友好和易于使用的管理界面
●细粒度的平安参数调整
●出色的内容平安综合处理能力
●灵活的部署特性,易于部署和维护
●全面的产品线,满足不同用户的需求
●专业的技术支持和销售团队
●P2P/IM应用的平安控制和细粒化管理
根据企业网络应用系统的现状以及未来系统的构造开展,我们认为着重考虑企业的B/S构造应用特点,是防火墙系统技术指标设计的主要依据。
众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力〔并发会话处理数〕,另一个是防火墙对网络数据流量的吞吐能力〔带宽参数〕。
B/S构造的应用系统虽然具有管理简单,客户端开发、使用和维护的本钱很低的优点,但是在网络上B/S构造应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。
具体来说,B/S构造的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S构造应用系统的并发TCP会话数量,而且这些会话绝大局部是包长很短的“垃圾〞IP包。
而这些垃圾包必然对网络设备的负载有着极大影响。
随着Internet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。
企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。
同时平安和速度始终是两个对立面的事物。
追求更高的网络平安是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度那么需要降低网络平安标准。
在目前依赖于网络应用的时代,能够做到应用层的平安检测以及平安防护功能是所有平安厂商的目标。
由于应用层的检测需要进展深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可承受的。
好的平安功能同样需要好的硬件平台去实现。
通过对各类防火墙的比拟分析,我们认为目前面向B/S构造应用、高性能的硬件防火墙是最为明智的选择。
3.1.2技术先进性和实用性原那么
网络平安方案中采用技术,具有一定的前瞻性,符合一定时期内网络平安技术开展的趋势,并在今后一定的时期内处于领先地位。
网络平安系统设计必须遵循先进性和成熟性。
由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的开展,在选择网络平安技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。
一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个开展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。
用户采用了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。
一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最正确时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。
虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。
所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和实用性相结合,并找出其中的平衡点。
3.1.3高可靠性原那么
由于网络对数据传输的实时性的要求,对网络的传输环节要求很高。
因而要求选用的网络平安设备具有相当高的可靠性,要到达电信级标准,具备99.999%的可靠性。
建立一个运行稳定可靠的现代化网络系统,网络中任何一台平安设备或任何一条平安设备上的线路发生故障都不会导致通过该平安设备互联的两个网络无法通讯,并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。
3.1.4易于扩展和升级的原那么
网络及数据通信技术开展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长,需要将网络系统扩容,因此在网络设计时应充分考虑将来网络的扩容和升级问题。
随着企业的开展扩大,网络的系统性能的需要将不断提高,网络的规模也会不断扩展,而隔离网络的平安设备也同样需要扩容和升级。
所以在设计网络时,要充分考虑到网络平安设备的可扩展性,为了保护用户的投资,设计应保证至少假设干年内网络的升级和扩展不需要更换主要网络平安设备,只通过增加一些模块就可以实现网络性能和规模的扩展,满足今后几年业务开展的需要。
3.1.5管理和维护的方便性
网络系统中的所有平安设备均应是可管理的,支持远程监控和故障的过程诊断和恢复。
可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。
3.1.6网络平安方案设计
3.1.7方案描述
为了XX网站对外提供的效劳,建议在当前企业的web网站Internet出口处使用HillStone防火墙来进展平安保护,用HillsonteSA系列防火墙作为链路接入设备。
为了保护内部网络,我们建议防火墙用NAT模式,隐藏内部私有网段。
1.在网站和Internet的连接局部我们部署一台HillStoneSA防火墙。
连接Internet的ISP链路被直接连接到HillstoneSA防火墙上,内部用户需通过核心交换机连接到HillstoneSA防火墙内网口,防火墙做NAT模式。
2.为了保护内部的主机和效劳器,我们需要将防火墙上的端口根据需要划分到不同平安级别的平安区域:
到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的核心交换机。
3.将防火墙设置为NAT模式。
这样就可以保护内部的私有网段,HillstoneSA防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。
4.防火墙访问控制策略的设定。
在防火墙上设置访问控制策略,不允许内网主机访问Internet。
或者制止外部对内部的非正常形式的访问〔或依据需求开放某些端口和应用〕。
HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种效劳。
5.HillStone防火墙提供VPN功能,外部和远程的人员可以通过VPN隧道与防火墙内的计算机建立连接。
方案可以实现:
通过HillStone防火墙,能够有效保护内部网络的平安和对外提供的效劳平安。
HillstoneSA防火墙的64位专用多核并行处理器能够防止纯ASIC和NP平安系统会话可管理能力和流量控制能力弱的弊病,为VPN和应用层内容平安功能提供强大的处理能力保障。
整个网络平安的到了保证,HillStone防火墙将有效保护内部网络,我们能够有效阻止外界对公司内部和效劳的DOS攻击,以及4-7层的应用层攻击。
HILLSTONE提供了强大的带宽管理功能,可以按照源和目标IP址或者地址组、应用程序、端口等对流量进展分级和处理。
QOS带宽管理确保了效劳质量,保证关键应用的高性能,可以根据具体参数对流量类型进展区分,并确定如何恰当地处理流量类型,从而对内部的用户进展高效的带宽管理。
VPN功能可以保证远程接入用户对内网访问的平安性。
HillStone的解决方案有如下优点:
●提供专业的网络平安效劳
HillStone是一家专业的网络平安设备厂商,具备多年平安设备研发和售后经历,能够为用户提供最及时最有效的平安解决方案。
●高性能的防火墙和防攻击能力
HillStoneSA系列提供超强的防火墙吞吐能力,能够满足企业网络中所有网络环境的吞吐要求。
同时,SA系列内置了防攻击模块,能够有效地防止网络攻击对企业网络的影响。
●先进的应用层管控机制
HillStoneSA系列产品能够为用户提供先进的应用层管控技术,包括URL过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。
●提供高性能的应用层解决方案
HillStone产品采用专用的64位多核处理器,能够为应用层数据处理提供前所未有的性能支持,保证在高吞吐高流量的情况下沉着有效地进展应用层的管控。
●提高企业网络部署的灵活性和扩展性
随着企业开展,企业网络也会不断开展变化。
HillStone企业网络解决方案能够凭借HillStone产品的多种智能化的功能实现,全面协助企业网络应用的演变。
在企业网络的特定网络平安环境下,通过HillStone产品的部署,灵活的进展功能扩展,最大化的保证了企业网络的灵活性和扩展性。
●降低系统维护难度和本钱
凭借多种人性化管理维护方式和HillStone集中管理功能的实现,HillStone企业网络解决方案能够极大的降低系统的维护难度和本钱。
结合HillStone专业本地化厂家技术支持和研发队伍,能够为企业应用提供最优质的专业技术保障。
3.2IntruShield网络入侵防护产品简介
IntruShield基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝效劳检测技术,除了可以探测攻击,还可以探测未知蠕虫和后门程序。
3.2.1网络攻击特征检测
为了实现高性能的网络攻击特征检测,IntruShield体系构造不仅采用了创新的专利技术,而且集成了全面的状态检测引擎、完善的特征标准语言、“用户自定义特征〞以及实时特征更新,确保了IntruShield能够提供并维护业界最为全面、更新最及时的攻击签名数据库。
特征标准语言
IntruShield以专用的高水平特征标准语言为强大支持。
IntruShield能够从应用程序软件中别离出攻击模式特征,在这个独特的体系构造中,将特征简单地转换为表单项,从而可以通过直观的用户界面实现实时更新,并可被特征引擎立即使用。
目前的IDS产品往往通过软件“补丁程序〞来提供新的特征,这不仅降低了部署速度〔必须根据整个IDS软件应用程序进展质量保证〕,而且也不利于安装〔必须重新启动系统〕。
而IntruShield通过从传感器软件中别离攻击模式特征,从而确保了高质量的全新特征可以快速部署〔无需重新启动系统〕。
同时,从传感器应用程序代码中别离特征也使得特征编写人员能够将精力集中在特征编写的“质量〞上,而无需考虑如何将特征构建为应用程序更新补丁。
全面的状态特征检测引擎
IntruShield体系构造的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出序列
升级会员 