鐵桶陣保護-趙明網絡整改方案(拯救趙明)
原創
【51CTO.com 獨家特稿】拓撲說明:
網絡出口安裝UTM 防火墻(根據流量需要,獨立選擇防火墻各功能模塊)并啟用防毒功能,不對外開啟設備管理功能,提高防火墻在外網邊緣的安全性;開啟SYSLOG 服務,將通過防火墻的所有流量以SYSLOG 方式發送至H3C 管理中心,由該設備分類管理、統計 流量;將HTTP 口映射至內部的F5 負載均衡設備,最小化外網對于內網的權限訪問。開啟 防毒功能后,保護一旦服務器被攻破后上傳非法木馬等非法軟件。
核心三層交換機劃分VLAN,將不同類型的服務器劃分至不同VLAN。其中,兩臺WEB服務器劃分至同一VLAN,將默認網關指定F5 內網地址;數據庫服務器劃分在一個VLAN,默認網關指定核心三層交換機;FTP 服務器劃分至一個VLAN,默認網關指定至三層交換機。
在各VLAN 中配置ACL,根據需要,只允許指定的流量,畢免當一臺服務器被攻擊破并被上傳后門程序后,作為黑客“跳板”至其他服務器。
F5 負載均衡設置為單臂方式,在交換機中分別將F5 內、外接口劃分至不同VLAN,內、外部接口配置地址,確保設備與網絡的互通;F5 可針對于內網WEB 服務器的管理性能、延 時等多種條件智能管理兩臺服務器的流量均衡。
服務器前端安裝IPS (如可選配置成透明方式),當服務器被黑客攻擊但UTM 無法識別為攻擊時,服務器前端的IPS 設備可保護服務器的安全;開啟SYSLOG 服務,將目標SYSLOG服務器定義為H3C 安全管理中心,通過IPS 的所有流量全部發送至管理中心。
數據庫、FTP 服務器前端安裝IDS 設備,并開啟SYSLOG 服務,該設備只記錄攻擊信息并生成攻擊日志,以多種方式向管理員告警;同時,IDS 通過SYSLOG 方式將截取的流量信息發至H3C 安全管理中心。
H3C 管理中心可收集網絡中各種設備的流量信息(需要網絡設備開啟SYSLOG 服務并將服務器提定為H3C 管理中心),生成管理表格并分類,通過設備本身的分析功能將各類流量分析為不同的警告等級,當UTM、IPS、IDS 等設備無法攔截或記錄攻擊方法時,管理中心可作為最后一道安全信息記錄分析系統,將攻擊警告以多種提示方式發送至管理員接收設備。服務器(windows 系統)只開啟相關服務的指定端口,將其他無用端口如:445、135、139 等端口關閉,同時更改默認管理員的口令,并滿足復雜性要求;服務器開啟審計功能,對登入事件等審計失敗、成功;配置WMI 將各種日志信息發送至H3C 安全管理中心;啟用安全策略,更改默認登入錯誤次數的鎖定(如更改為錯誤2 次以上鎖定系統30 分等)。
【編輯推薦】
