綜合利用

從供應商架構中的DDoS減弱方法，用于網絡維護的防火墻和入侵防御(IPS技術，再到用于應用層保護的Web應用防火墻，還有用于維護文件系統完整性的內容完整性監控系統(CIMS最后是為各種平安和服務器組件提供日志信息的日志管理系統(LMS不過，要想擁有一個可以實時監測平安威脅并具備安全適應性的平臺，恐怕還任重而道遠。

這種防御機制下，深層防御是指用一系列防御機制保護電腦。如果其中一個失效，那么其他維護方法還可以發揮作用。偏重實用的深層防御安排案例，例證整合了現有的技術和高效的綜合型企業網絡安全架構。

環境

讓我先考慮下面這個常見的企業IT裝置情境。許多企業出于不同的原因使用第三方托管架構服務。通過外部托管，為了說明如何安排深層防御。企業有能力利用保守空間或能源模式在托管服務供應商租借一個安全的環境，同時又可以對系統進行自主管理，或者他也可以從供應商那里購買托管服務，這其中包括網絡，系統和安全服務。這些環境旨在托管企業中可被公眾訪問的系統，其范圍涉及郵件，公司用戶文件傳輸服務，企業電子商務平臺。

平安都在環境設計中扮演著重要的角色。設計此類環境平安的一種典型方法是利用網絡。這樣討論的目的于讓我設想企業將自己的電子商務平臺托管到這樣的環境中。電子商務平臺包括Web層級，不管是租借的還是托管型部署。這些層級就好像是各種交易的傳輸工具或支付網關一樣。中間件和數據庫層級起支持作用。這樣的設計要求把每個層級都托管到合適的網絡，也就是虛擬局域網或VLAN用過濾設備，如在平安性較低的界面使用帶有Web服務器的防火墻等，便可以完成這一任務。而中間件和數據庫層級要托管到平安性較高的界面。而且不能從公共網絡直接訪問中間件和數據庫層級。某些設計情境中，中間件和數據庫層級位于相同的防火墻界面之后，只不過位于不同VLAN上。此類情境中，兩個層級之間不存在流量過濾，除非交換機強制要求進行過濾。

這類案例中的防火墻就好像是防御互聯網威脅的最基本屏障。會將這樣的環境作為安排深層防御戰略(使用現有平安技術)基線。

切實可行的深層防御

可以依照不同企業的具體需求分別對待。筆者想到一個為上述環境安排平安安排平安方案的好方法。

第二個組件主要通過已知的流量行為來減輕攻擊(例如，深層防御的第一步是供應商網絡架構中的企業環境外強制部署。該技術組件主要負責維護環境免受分布式DDoS攻擊。DDoS攻擊緩解技術一般包括兩個組件：第一個組件主要通過監控普通流量中的異常行為來檢測攻擊。威脅管理系統或TMS

因此可以減少鏈接飽和的風險和增加的帶寬本錢。DDoS維護通過邊境網關協議(從中心路由設備到DDoS清理中心)實現瞬時的流量分離。最有效的DDoS減緩時通過供應商的架構實現。

但是托管環境中，防火墻可以有效阻擋特定網絡威脅。端口對互聯網敞開HTTP80/TCP和HTTPS443/TCP其有效性受到局限。這樣的環境中，最好是用Web應用防火墻設備來增大防火墻。

如跨站點腳本攻擊，Web應用防火墻主要被用來保護環境免受針對應用的攻擊。SQL注入和參數篡改等。這些設備都是通過托管環境中，防火墻和核心網絡交換機之間的物理連接來配置。一個Web應用防火墻就像是一個橋接設備，可以在應用層攔截那些與已知攻擊向量流量的特征相符合的數據流。當硬件啟動失效的時候，也不能被打開，所以它能確保流量繼續流向Web服務器。一些Web應用防火墻供應商也提供數據庫的監控和保護服務，這些服務可以掌控通向數據庫的威脅。維護是通過代理強制安排，而代理通常被安裝在托管數據庫的服務器上。

因此它對以網絡為中心的攻擊不能進行有效攔截如互聯網蠕蟲。一個Web應用防火墻可用來配合入侵防御系統，由于Web應用防火墻一般關注的都是發生在應用層的攻。后者主要是對網絡層上完成基于簽名的修復。這些設備在內聯容量中整合了防火墻，而它離開防火墻的同時會攔截威脅，因此可作為模塊使用。

對于有效地深層防御而言，隨著我進一步接近服務器平臺。抵抗惡意威脅和監控文件系統的任務顯得尤為重要?？梢越Y合主流反病毒/反惡意軟件和內容完整性監控系統來實現這一任務，其中內容完整性監控系統可以實時追蹤文件系統發生的更改，并發出警告。

該系統就好像是單獨平安組件的日志存取器。除了可以用作保守服務器的日志存取器，將所有的嘗試結合在一起就可以實現集中式日志管理系統。一個日志管理系統還可以在預置的事件過濾器上生成實時警告。而且，還能為各種安全組件的日志數據提供靈活的搜索界面。另一類名為安全信息和事件管理的系統，則在日志管理中具備根。可被用來代替日志管理系統。平安信息和事件管理系統擴展了日志管理系統的功能，因為它還可以提供智能的威脅分析與減弱威脅的功能。

【編輯推薦】

1. 斬斷DDoS魔掌的六把利刃
2. DDoS攻擊無需畏懼：有效防御拒絕服務攻擊
3. 教你如何應對(DDoS)攻擊
4. 應對全局網絡安全網絡與DDoS防范