【51CTO.com 綜合消息】方案概述

隨著網絡與信息技術的發展，尤其是互聯網的廣泛普及和應用，網絡正深刻影響并改變著人類的生活和工作方式。越來越多的政府、企業建立了依賴于網絡的業務信息系統，比如門戶網站、電子政務、電子商務、網上銀行、網絡辦公等；互聯網企業提供給用戶各類Web應用服務，如提供信息發布、信息搜索、電子購物、網上游戲等業務，便利了工作，也極大豐富了人們的生活。互聯網對社會各行各業產生了巨大深遠的影響，與此同時，信息安全的重要性也在不斷提升。

1.1 需求分析

趙明所處網站對外提供的服務及業務系統通過負載均衡設備實現與互聯網的連接；沒有任何安全防護措施，使重要的Web服務區及眾多的數據服務器暴露在巨大安全威脅下面。

1.2 具體措施

劃分安全域

依據趙明網站系統應用和相關設備的重要程度以及不同的用戶訪問方式，將網絡系統劃分為WEB服務區（WEB服務器）、關鍵應用區（數據庫服務器）、普通應用區和核心數據區（備份服務器）四個安全域。通過安全域的劃分，可以分散安全風險，實現縱深防御。

通過對趙明網站系統劃分不同的安全區域，各區域功能不同，相應的安全級別也不同，我們可以通過防火墻設置不同的安全策略，實現對不同區域不同訪問控制策略，提高整體網絡的安全性。網絡拓撲結構如下（加綠處）：  

如上所示，在安全域部署方式上，將WEB服務區設備通過邊界防火墻部署在網絡邊界與互聯網連接外，關鍵應用、普通應用區和核心數據區設備依次部署在WEB服務區后側，形成WEB服務-中間應用-數據存儲的三層結構。

部署網絡入侵保護系統（NIPS）

建議串聯部署網絡入侵保護系統（NIPS），目的是滿足等級保護的要求。

網絡入侵保護系統作為一種在線部署的產品，提供主動的、實時的防護，其設計目標旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。NIPS是通過直接串聯到網絡鏈路中而實現這一功能的，即NIPS接收到Internet數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

在趙明網站系統部署NIPS是有必要的，一方面，NIPS檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡，克服了IDS只是作為檢測設備的不足；另一方面，NIPS往往具有防火墻的功能，可以進一步增強對網絡的訪問控制。

部署抗拒絕服務系統

拒絕服務攻擊，特別是網絡拒絕服務攻擊造成的危害是相當嚴重的，可能造成服務無法訪問，甚至數據損壞和丟失，從而給被攻擊的客戶帶來大量金錢、人力、時間上的巨大損失。

由于網絡層的拒絕服務攻擊有的利用了網絡協議的漏洞，有的則搶占網絡或者設備有限的處理能力，使得對拒絕服務攻擊的防治，成為了一個令管理員非常頭痛的問題。尤其是目前在大多數的網絡環境骨干線路上普遍使用的防火墻、負載均衡等設備，在發生DDOS攻擊的時候往往成為整個網絡的瓶頸，造成全網的癱瘓。因此，對骨干設備的防護也是整個網絡環境的關鍵。  

利用天融信的DDOS防護功能可以抵御小規模的DDOS攻擊，由于通用操作系統和網絡設備需要更多的從功能和網絡效率方面進行設計和實現，通過簡單的系統或者設備配置無法降低拒絕服務攻擊的危害。因此，為了抵御日益增長的DDOS攻擊，我們建議部署抗拒絕服務系統，以保障趙明網站系統的可用性。