<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 

 

 

 

以网络划分及服务器功能区分为基础

提升系统整体安全性

 

 


 

 

 

目录
1 前言... 3

2 网络拓扑方案... 4

2.1 拓扑结构图... 4

2.2 拓扑结构说明... 4

3 安全防护方案... 6

3.1 权限控制... 6

3.2 网络控制... 6

3.3 漏洞扫描... 6

4 安全检测方案... 8

4.1 ***检测与防护... 8

4.2 状态监测... 8

4.3 安全审计... 8

5 安全恢复方案... 9

5.1 负载均衡... 9

5.2 双机互备... 9

6 软硬件配置方案... 10

6.1 防火墙系统... 10

6.2 ***检测与防护系统... 10

6.3 漏洞扫描系统... 10

 


 

 

第1章 前言

随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的企业建立了依赖于网络的信息系统或业务处理系统,比如电子商务、门户网站、网络办公等。近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如******、蠕虫病毒、***后门、间谍软件、僵尸网络、DDoS***、垃圾邮件、网络资源滥用等,极大地困扰着企业,给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络***的***、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。
赵明现在负责的网站没有作相关的安全保护措施,存在很大的安全隐患,主要包括病毒泛滥、来自网络内外的******、信息丢失、拒绝服务等,一旦发生网络病毒或者***时间对整个网站的运营来说都是致命的,因此必须要采取一定的网络软硬件甚至是制度上的改造,来提升网站的整体安全性。

 

 

 

第2章 网络拓扑方案

2.1 拓扑结构图

根据系统的层次划分,建议采用网站采用如下图所示的网络拓扑结构。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

2.2 拓扑结构说明

在网站的网络拓扑结构中,根据安全级别的不同,可以通过防火墙将系统网络划分为4个区域:互联区、隔离区、应用区、办公区。
根据上面的网络拓扑图所示,我们将网站原来的Web服务器上提供的服务根据其不同特点拆分为Web服务器和应用服务器,一方面助于提高性能,简单的web请求不会影响应用程序服务器,另一方面将Web服务器与应用服务器从物理上通过防火墙分开,增强应用服务器的安全性。
路由器:连接网站内部局域网及广域网的设备,主要作用是网络连接和路由选择。

防火墙:隔离不同的网络区域,抵御来自外部、内部的***和***,确保每个网络区域的安全;为了避免单点故障,各层防火墙采用双机热备;为了避免同质化***,各层防火墙应采用来自不同产商的品牌。
互联区:负责处理用户请求接入,放置路由器、防火墙等设备。
隔离区:放置需要对外直接提供服务的服务器,主要有:负载均衡服务器、WEB服务器、***防护设备。

Ø  负载均衡服务器负责将外部请求动态均衡的分发给WEB服务器或应用服务器。
Ø  WEB服务器负责系统静态内容(如HTMLJAVASCRIPT、图片等)的处理和响应;为了避免单点故障和提高响应能力,WEB服务器可以采用群集部署。
Ø  ***防护设备可以实时提供网络***防御和检测。
APP区:放置应用服务器,主要有:应用服务器、文件服务器、监控服务器、数据库服务器、漏洞扫描设备。

Ø  应用服务器提供网站具体业务功能的实现。
Ø  文件服务器提供文件的存取服务。
Ø  数据库服务器负责保存需要持久化的数据;为避免单点故障,数据库服务器采用双机互备技术。
Ø  漏洞扫描设备负责系统安全漏洞的扫描和检查,防止网络***。
OFFICE区:内部接入处理。负责处理来自于内网的用户请求接入。

 

 

 

第3章 安全防护方案

3.1 权限控制

权限控制包括网络的访问权限控制,设备的访问权限控制,服务器的远程访问权限控制(包括Web服务器、应用服务器、文件服务器、数据库服务器等)防止内外网用户越权操控。

3.2 网络控制

通过在网络边界设置多重的防火墙,防止外界的非法访问。通过上面的网络拓扑图,也可以清楚的看到,设置多种的防火墙可以保证系统安全。其中前两道防火墙主要是防护互联网用户的非法***,第三道防火墙可以防护内部用户的非法侵入。

3.3 漏洞扫描

病毒、蠕虫和***等对系统安全造成极大威胁。通过漏洞扫描设备对进入应用区的信息进行扫描。
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟***的***手法,对目标主机系统进行***性的安全漏洞扫描,如测试弱势口令等。若模拟***成功,则表明目标主机系统存在安全漏洞。
漏洞扫描系统分为三大类型的漏洞扫描:基于服务器的通用服务、基于网络设备的专用OS及配置、基于数据库。
基于服务器的漏洞扫描包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测等,这些扫描通过使用插件(功能模块技术)进行模拟***,测试出目标主机的漏洞信息。
基于网络设备的漏洞扫描,包括设备的OS漏洞以及错误的配置,比如,可以对路由器和交换机进行漏洞扫描,发现其OS的漏洞,以便进行相应的补丁升级;更改错误的配置,避免网络设备遭受***。基于数据库的漏洞扫描可以自动识别数据库的类型,分析数据库的系统漏洞以及错误配置。

 

第4章 安全检测方案

4.1 ***检测与防护

***检测与防护作为防火墙的辅助方案,作为一种在线部署的产品,***检测与防护系统可以提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类***性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。***检测与防护系统接收到外部数据流量时,如果检测到***企图,就会自动地将***包丢掉或采取措施将***源阻断,而不把***流量放进内部网络。

4.2 状态监测

系统在运行过程中很可能受到网络状况或是服务器资源的限制导致服务效率低下,通过监控网络和系统的运行状态,可以实时反映系统的性能,并通知相关管理人员及时做出相应的措施。

4.3 安全审计

互联网是一把双刃剑。互联网的开放性、互动性、***性和无国界性决定了它在提高竞争力、沟通力和适应力,给我们带来了极大的方便和很多的好处的同时,当也给我们带来了多种危害和隐患。由于对上网人员的行为没有规范化的管理,在网络上出现了机密信息泄露、散发谣言、带宽资源滥用等等现象,影响正常的秩序,轻者造成经济损失,重者将造成社会不良影响,触犯国家的法律法规,因此在设置防火墙和***检测系统的同时,仍需要对网络输入输出的信息数据根据需要进行审查核实,防止敏感信息数据的泄露。在整个网络系统的各个单元中设置安全审计,从软硬件各方面入手发现安全漏洞,包括数据的安全与操作的安全等。

 

 

 

第5章 安全恢复方案

5.1 负载均衡

系统的用户量大,访问和数据的流量也相应增加,单一的一台服务器不能满足系统需求,所以应采用负载均衡策略,实现用户请求到服务器的合理分配。
原有方案是以一台Web服务器为主,另一台Web服务器为辅,这样虽然可以保证主服务器宕机时,通过备份服务器的切换保证正常的对外服务,但是如果是因为用户访问量过大导致的系统宕机,则无法从根本上解决问题,因为即便备份服务器继续提供对外服务,仍有可能因为负载过大出现宕机的可能性。而通过负载均衡方案,同时提供两台对外服务的Web服务器,可以将用户请求根据系统负载状况进行合理分发,保证服务的不间断性和高可用性。

5.2 双机互备

双机互备通过高可用系统的两台服务器的热备来保证服务的可用性,两个相对独立的应用在两台机器同时运行,并彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性
因文件服务器与数据库服务器均为系统数据持久化的物理设备,因此为保证这两类服务器上的数据安全性,提供良好的存储环境,我们应对这两类服务器考虑使用双机互备的方案。

 

 

 

第6章 软硬件配置方案

6.1 防火墙系统

联想网御防火墙Power V-2500G集成了访问控制、***检测与防御、防蠕虫病毒、应用识别控制、WEB分类库过滤、流量×××等众多功能,结合VSPUSEMRP等核心安全技术,为各个行业的信息网络提供全方位立体式保护方案。Power V-2500G防火墙广泛应用于税务、公安、政府、军队、能源、交通、电信、金融、制造等行业中。
 天清汉马USGFW防火墙是启明星辰公司正式推出的高性能、易管理、可升级的全新防火墙系列产品。天清汉马USG-FW防火墙采用领先的专用多核硬件架构,高性能、绿色低功耗,集防火墙、×××、内容过滤、上网行为管理、抗拒绝服务***(Anti-DoS)NetFlow等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能。同时,可软件升级支持UTM功能,保护用户投资,是政府、能源、金融、教育、大型企业、中小企业、军队等用户的理想选择。
TopASIC平台(猎豹III)防火墙产品,是天融信基于猎豹I、猎豹II防火墙的最新开发成果,该芯片容量更大,性能更高,运行更稳定。TopASIC平台(猎豹III)防火墙产品是国内安全厂商真正拥有的具有国产知识产权的安全芯片,具备高可靠性、高扩展性的特点,能够确保端口在各种应用业务下达到线速转发,构建高性价比的安全平台

6.2 ***检测与防护系统

绿盟网络***防护系统(NSFOCUS NIPS)是绿盟科技拥有完全自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动应对各类***流量,第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、***检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的***防护解决方案。

6.3 漏洞扫描系统

绿盟极光(AURORA)远程安全评估系统,采用高效、智能的漏洞识别技术,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给用户提供专业、有效的漏洞防护建议,让***者无机可乘。