《XX网站安全解决方案》由会员分享,可在线阅读,更多相关《XX网站安全解决方案(25页珍藏版)》请在金锄头文库上搜索。
1、XX 网站安全解决方案网络安全解决方案上海恒驰信息技术有限目录1 企业面临的威胁 1-41。1 应用安全的重要性 1-42 应用安全解决方案 2-62。1 XX 网站现状 2-62.2 客户网络现状分析 2-62.3 XX 网站安全解决方案 2-73 部署的产品 3-93。1 Hillstone 公司简介 3-93.1。1 面向应用的高性能防火墙需求3-103。1。2 技术先进性和实用性原则3-143。1。3 高可靠性原则3-143.1.4 易于扩展和升级的原则3-143。1.5 管理和维护的方便性3-153.1。6 网络安全方案设计3-153。1。7 方案描述3-153。2 IntruShi
2、eld 网络入侵防护产品简介3-173。2。1 网络攻击特征检测3-173.2。2 异常检测3-193。2。3 拒绝服务检测3-193。2。4 入侵防护3-203。2。5 实时过滤蠕虫病毒和 Spyware 间谍程序 3-233.2。6 虚拟 IPS 3-233.2。7 灵活的部署方式3-241 企业面临的威胁随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的 基础上。在信息和网络被广泛应用的今天,In ter net上的商务和经济活动的增多对网络系统 的安全提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机 网络都必然存在被有意或无意的攻击和破
3、坏之风险。Internet 攻击行为来自于以下方面:a)黑客有目的的远程攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统, 造成网络、应用和服务器系统瘫痪;b)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入服务器后为黑客攻 击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;c)蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系 统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息, 造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d)DOS/DDOS
4、 攻击的威胁,会造成网络服务中断。e)网络异常流量1.1 应 用 安全 的重要 性随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的 基础上.而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要 求越来越迫切。 Internet 上的商务和经济活动的增多对网络系统的安全提出了很高的要求, 解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁,不断出现的网络攻击, 网络病毒,间谍软件,木马程序,并呈不断上升的趋势。这不仅影响了计算机网络系统的 实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心
5、“. 我们能使用计算机来处理我们的重要信息吗.通过部署网络防火墙设备,实现:1. 把内网服务器和 Internet 做物理隔离,拒绝非法访问2. 基于服务器的发布,映射服务器特定端口,给Internet用户提供服务3. 严格的策略的控制在 web 服务器和 Internet 的连接部分我们部署一台 HillStone 系列防火墙。 连接 In ter net的ISP链路被直接连接到HillSto ne防火墙上,内部web服务器需通过HillSto ne防 火墙连接到 Internet.为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区 域:到In ter net的链路端
6、口划分到UnTrust区域,Trust区域端口连内部网的交换机。将防火墙设置为NAT模式。这样就可以保护内部的私有网段,SA系列防火墙有着强大的 NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT源地 址NAT和基于目的的NAT等。HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对In ter net的访问, 和公司对互联网提供的各种服务.通过部署网络入侵防护设备,实现:1. 探测出黑客攻击,并且实时阻断黑客的攻击;2. 能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;3. 探测异常网络流量,阻止进入自来水公司网络;4. 探
7、测和阻挡D0S/DD0S攻击McAfee IntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并 且具有完整的阻挡DDOS攻击的能力,包括对抗Syn Flood的Syn-Cookie技术。因此,在自 来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为 防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫 病毒传播导致的异常流量入Nach Ping、Sql Slammer异常流量等,另一大类当前网络的异 常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一
8、样)、DOS/DDOS 攻击。2应用安全解决方案21 XX网站现状XX网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全措 施,web服务器完全暴露在公网上,存在很大的安全隐患,还时常遭受黑客的攻击,导致正常 访问的中断。XX网站拓扑结构示意图如下所示:WEB网鮎22客户网络现状分析面临的外部安全威胁:1. 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;2. 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑 客攻击留下后门,同时造成网络拥塞,甚至中断;3. 蠕虫、恶意程序利用操
9、作系统、应用、Web服务器和邮件系统的弱点进行传播,植 入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的 TCP、UDP 或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Ni集成商a、“冲击波”和Nachi 蠕虫病毒;4. 面临DOS/DDOS攻击,造成网络服务中断;5. P2P、IM等特殊应用缺乏管理和阻断的手段;6. 越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;7. 来自 Internet 各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其 阻断。2.3 XX 网站安全解决方案基于XX网站以上问题,上海恒驰信息有限公司处
10、于负责的态度建议客户从网关处部署 一整套安全防护系列产品来完善企业网站的安全建设,其中包括:1. Hillstone 安全防火墙2. McAfee IntruShield 入侵检测设备根据以上的安全威胁分析,我们需要采取相应措施解决这些安全问题,因此,安全需求可 以归纳为以下几方面:(1) 设定严格的策略控制,阻止非授权的访问;(2) 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;(3) 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;(4) 能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕 虫通过网络进行传播;(5) 能够检测异常网络流量,
11、有效阻断DoS/DDoS攻击;(6) 能够检测针对网络的加密攻击;(7) 能够对整个客户网络进行实时、准确、全面的入侵防护;(8) 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点 的修补建议;(9) 发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威 胁,实时保护内部网络的安全;(10) 需要依照全行的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安 全风险管理的角度出发,真正有的放矢地解决网络安全问题;(11) 最后,客户更需要建立一个信息安全管理体系,通过一定的基本原则和管理流程, 整合好目前已经部署和使用的安全产品,真正做到
12、对安全风险的有效管理产品部署之后的网络示意图如下:Hillstonc防火墙WEB网斷片3 部署的产品3.1 Hillstone 公司简介山石网科通信技术(北京)有限公司(以下简称“山石网科)创建于2006 年,是网络安 全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。山石网科积 累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设 备提供商。目前,山石网科拥有员工200 余人,其中博士、硕士占30以上,公司的核心团队由来 自 Juniper 、 Cisco、Netscreen 、 Fortinet 和 H3C 等中外著名企业的精英组成,具备先进
13、的技 术经验和丰富的企业管理经验。公司总注册资金475 万美金,设有系统架构部,系统运营 部, 软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式, 在亚太区形成了良性发展的产业和营销体系。自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求为己任, 用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。山石 网科凭借其独特 的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产 品,并提供高性价比的新一代网络安全整体解决方案,服 务于中国高速发展的网络市场.作为 产业链中至关重要的一环,山石网科勇于创新,公司的SR
14、系列安全路由器和SA系列安全 网关产品,已经为网络安全领域树立 了新的安全网络产品质量水平,在国内各大中小型企业 及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安 全稳健和谐发展的新长征中,携手共赢!3.1.1 面向应用的高性能防火墙需求传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过 了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC 和NP (网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙可以实现高 性能的网络安全防护,对于应用
15、层的安全防护无能为力,应用层完全依靠通用CPU进行处 理,包括目前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、 Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降无法满足用户实际的 网络安全需求。基于以上原因,Hillstone全线产品采用了创新的新一代网络安全架构,硬件平台采用 64位高性能的多核处理器Multi-Core CPU (多达16核),内部传输采用高达24Gbps高速 交换总线,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的 每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!64位专 用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又 避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64 位多核处理器MultiCore CPU集成了 IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩 以及其他安全功能的芯片级
