【拯救赵明】全面防护网络***服务器负载及安全解决方案
而对于企业而言,其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务;众所周知, 随着访问用户数量的增加,会给单位的服务器和链路带来越来越大的压力,如何有效的保证客户访问速度,实现访问流量在各链路和服务器上均衡分配,充分利用各链路和服务器资源,是目前企业网络改造的重要目标。
1、服务器的稳定访问。
2、利用安全防护设备预防***的发生。
3、在被***的过程中,能及时告诫管理员,并记录和阻断骇客行为、特征。
4、方案中以被***前防御和被***时阻断、记录***行为的设备为主。
为了提升赵明公司的网站及应用系统的稳定性和可靠性,赵明公司已经部署多条互联网链路以保证网络服务的质量,消除单点故障,减少停机时间。目前需要在如下两种情况下实现多条链路的负载均衡:
随着访问用户数量的增加,给赵明公司的服务器带来越来越大的压力,如有有效的保证客户访问速度,实现访问流量在各服务器上均衡分配,充分利用各服务器资源,是目前赵明公司网络改造的重要目标。
随着网络***行为的愈演愈烈,不时传出有知名网站被******的新闻,使得企业闻黑色变,想方设法的提升自身网络防骇***的能力,然而并不是所有的企业都有这样的实力。
近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展。然而不幸的是,***强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意***,不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改***事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。此外,***工具简单且向智能化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的******,***形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为***目标。
目前的安全措施主要是针对外部网络的访问控制问题,对于内部网络的安全,仅仅局限在简单的权限控制和防病毒软件方面。然而,根据权威组织的调查报告显示,传统的***、***、病毒等外部威胁仅占20%,而内部泄密、***、违章、管理不善等内部威胁竟高达80%,真正的威胁来自网络内部。但是目前正在用90%以上的投入解决20%的外部安全威胁问题,而面对高达80%的内部安全威胁,投资几乎微乎其微。同时,如何有效地对内部网络系统进行管理,也是提高办公效率的关键。
3.1网络拓扑
根据赵明公司网络架构和需求情况,我们推荐使用台湾众至Sharetech负载均衡安全网关、北京智恒WebGuard网页防篡改系统、长沙锐安信息Niordsec的内网安全平台的综合产品解决方案。本方案设计采用的SharetechAW设备包括服务器负载和多链路负载均衡二合一功能,实现网络中多链路和服务器的智能负载;WebGuard的网页防篡改系统保护WEB服务器;Niordsec内网产品实现整体内网网络的安全管理;具体部署情况示意图如下:
本方案设计采用台湾众至Sharetch AW设备来实现网络中实现多条链路的负载均衡和服务器的负载均衡及服务器安全***防护;WebGuard网页防篡改系统保护web服务器;Niordsec内网安全产品实现整个内网终端的系统安全。
1、内部用户需要访问外部服务器,将访问请求发送至Sharetech AW负载平衡网关,Sharetech AW负载平衡网关根据数据包的目的地址判断传输线路。访问电信的数据从电信线路传输,访问网通的数据从网通线路传输;
IDP(***侦测防御)可有效防护威胁***并提供『特征数据库』(Signature Databas)2,900个以上预设***模式,并可主动在线更新。
预设的『特征数据库』可允许用户自行修改它的Action与级数。
具备两种Action的模式:Pass 及 Drop 。
可另外自行定义『特征数据库』,藉以防范新类型***。
提供威胁***记录及报表查询功能,以方便分析。
报表查询可查看以下记录:Source IP or Destination IP相关记录、特征分类相关记录、相关事件内容记录。
我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进行自动监测,对文件夹的所有文件内容(包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高水准。
NiordSec内网安全平台是一个完善的内网安全防御体系,与常规的网络监控或行为控制软件不同,它综合考虑了内网数据安全和内网有序管理两个方面,结合操作系统内核数据加密、网络智能控制和行为分析等先进技术,对组织的内部网络进行综合、高强度的保护。
Sharetech AW产品提供https的安全Web中英文的界面管理;
4.1.1 Sharetech AW5350G 负载均衡安全网关介绍
硬盘
|
250G
|
||
网络端口WAN/LAN/DMZ
|
5/1/1
|
||
网络端口速度
|
10/100/1000
|
||
Console Port
|
|||
外观
|
1U机架式
|
||
电源供应
|
100-250VAC
|
||
最大处理速度
|
1640Mbps
|
||
***认证+3DES加密
|
190Mbps
|
||
SSL ***认证+3DES加密
|
160Mbps
|
||
最大联机数
|
1000000
|
||
每天邮件最大处理封数(每封1098bytes)
|
6400000
|
||
HTTP防病毒速度
|
550Mbps(双向)
|
||
FTP防病毒速度
|
510Mbps(双向)
|
||
邮件服务器
|
最大数量
|
400
|
|
支援LDAP Server
|
○
|
||
垃圾邮件
|
内送邮件扫描
|
○
|
|
内氏过滤法
|
○
|
||
检查寄件者IP地址是否在URL
|
○
|
||
核对指纹辨识数据库
|
○
|
||
垃圾邮件外置
|
删除/传送/转寄
|
||
最大垃圾过滤规则
|
200
|
||
个人化规则
|
○
|
||
最大白名单数量
|
512
|
||
最大黑名单数据
|
512
|
||
邮件病毒
|
病毒引擎
|
Clam AV/Sophos
|
|
内送邮件扫描
|
○
|
||
病毒邮件处置
|
删除/传送/转寄
|
||
FTP病毒过滤
|
|||
HTTP病毒过滤
|
|||
EB操作
|
简体/繁体/英文
|
○
|
|
HTTPS
|
○
|
||
最大次管理员数量
|
400
|
||
Multiple Subnet(NAT)
|
Routing/NAT(Max entry=512)
|
||
静态路由表数量
|
400
|
||
DDNS最大数量
|
512
|
||
频宽管理
|
最大条例数
|
4000
|
|
最大管理频宽
|
100
|
||
Quota
|
○
|
||
Accouting Report
|
○
|
||
认证
|
内建最大认证使用者数量
|
4000(Policy/***)
|
|
内建最大认证使用群组数量
|
800(Policy/***)
|
||
RADIUS
|
○
|
||
POP3/LDAP认证
|
○
|
||
负载平衡
|
对内负载平衡功能/网域数量
|
256
|
|
对外负载平衡功能
|
○
|
||
最大排程表数量
|
800
|
||
IP对映
|
512
|
||
虚拟服务器
|
4
|
||
MAC Address过滤
|
|||
内容过滤
|
最大URL阻挡数量
|
8000
|
|
P2P Blocking
|
eDondey,BT,WinMX…
|
||
IM Blocking
|
MSN/Yahoo/ICQ/QQ/Skyp…
|
||
***预警
|
SPI,SYN,ICMP,DoS,UDP,Ping of Death,Port Scan
|
||
Blaster Blocking
|
|||
允许建立的最大通道数
|
IPSec
|
8000/2000
|
|
PPTP Server
|
4000/400
|
||
PPTP Client
|
512/400
|
||
IDP功能
|
|||
SSL ***
|
|||
*** Trunk
|
|||
High Availability
|
1) 第三代内核驱动防篡改技术
? 基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
? 保护Web服务器的相关重要配置文件不被篡改;
? 支持多站点、跨平台分布式部署,统一集中管理功能;
? 支持网页文件自动上传功能和增量发布,无需人工干涉;
? 自动检测文件***记录,并实时记入日志,支持导出excel报表;
? 支持多用户分权管理功能,方便操作;
? 支持SQL注入***防护;
我们把内部网络在逻辑上划分为3个主要构成部分,核心服务器区域、可信终端区域以及外部风险区域,如下图所示。NiordSec内网安全平台的架构和最后的应用部署都是基于这样的划分。
按照上图的划分,NiordSec内网安全平台在这几个区域上分别构架了一个功能模块,来实现对内网信息的安全防护。在可信终端区域包括,双因子身份认证,行为日志审计、外部设备控制、文件安全保护、网络管理控制以及员工行为监控等等,我们认为这些模块的作用,足以证明安装了NiordSec客户端的机器上,所有的行为是可以控制和审计的,是可信的;在核心服务器区域,包括服务资源操作审计、数据库操作审计以及身份认证模块,这些功能模块的叠加能够使所有用户对服务资源的访问都接受控制和审计;对于外部风险区域,非法主机接入控制模块能够阻断所有非法或不合法用户的进入,保证内部网络的纯洁性。
NiordSec内网安全平台对终端提供两种管理模式:基于终端计算机和基于终端用户的管理,这两种管理模式在部署时进行选择。
远程监控和桌面管理功能提供实时监视和控制终端计算机的运行状况,包括:当前屏幕监视、当前运行进程监控、CPU使用情况监视、内存使用情况监视、硬盘使用情况监视、桌面锁定和解锁、终端计算机注销重启关机、终端共享文件管理以及帐号管理等功能。
通过终端用户外设管理功能,系统能够充分保护网络中终端主机的安全性,保证数据不被恶意的盗窃,防止外接设备随意连接到计算机,保证秘密信息不被窃取。外部设备管理主要从端口控制、存储设备、打印设备和设备属性等四个层次进行保护,如表1:
设备管理层次
|
防护对象
|
端口控制
|
串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器。
|
存储设备
|
USB存储介质(U盘、活动硬盘等)、光驱、软驱、磁带。
|
打印设备
|
本地、远程、虚拟打印机。
|
设备属性
|
设备管理属性、网络适配器属性。
|
网络操作是终端用户最频繁的操作之一,与工作无关的网络操作行为不仅仅影响了工作效率,同时也是信息泄密的一种途径。本系统从IP控制、端口控制、URL控制、邮件控制等几个方面来进行管理。
“NiordSec内网安全平台”通过设置进程的签名白名单、签名黑名单、名称白名单以及名称黑名单几种方式来对进程行为进行控制。
文件安全管理功能提供共享文件访问控制、文件访问日志记录、移动存储设备透明加解密、文件保险柜以及文件安全锁等功能。
终端资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
服务器保护功能基于应用代理技术,实现了对内部业务服务器群细粒度的统一身份认证,各类业务应用服务器、数据库服务器都在保护的范围之内。服务器保护功能包括受保护服务器群统一身份认证和操作日志记录两大子功能。
本系统中对“非法主机”的定义是指没有安装NiordSec内网安全平台的主机,主要目的是防止将外部主机接入到内网中从而带来安全隐患。对于这种外部接入行为,本系统提供了两种控制措施:接入预警和禁止接入。
对终端主机的IP地址、MAC地址进行管理是保证网络正常运行的有效方式之一。终端主机随意修改IP地址和MAC地址可能会导致网络混乱,同时也可能是出于伪造他人身份进行非法操作的意图。同时,ARP***是目前最常见的局域网***,其直接会导致局域网瘫痪。本系统提供了两种关于IP(MAC)管理的措施:IP地址和MAC绑定以及ARP病毒免疫。
对于一个中大规模的内部网络,在安装软件或补丁时要求管理员逐台主机进行安装,那将会导致工作效率非常低。软件(补丁)分发功能提供了有效的方式来分发和安装软件和补丁程序,大大提高了管理员的工作效率。该功能提供了三种软件分发模式:文件传输、执行软件和安装软件。
即时消息功能为终端用户和管理员提供了一个交流通道,方便他们及时进行沟通。这个交流通道是双向的,由终端用户即时消息和管理员公告两个组件组成。
本系统的策略是终端主机控制规则的集合。策略的修改、添加、删除、发布都由管理中心控制台实施,通过策略服务器下发至终端主机,然后终端主机执行其相应的策略。
完整、精确的日志记录是成功进行审计的基础,是事后追查追踪的依据,同时也是预测安全发展态势的指南。本系统日志记录依据下列原则:
从企业对涉密文档的防泄密需求来看,文档的强制加密模块能够针对企业所关心的文档类型或者进程,进行设定,例如对.doc文档设定加密策略,那么全网范围内,所有的.doc文档,不管采用什么程序(office2003、office xp、office 2007、wordpad)进行编辑,.doc在存储介质中都是以密文存在,通过U盘拷贝、发送mail、qq传递等,接受方都无法打开。但是本地计算机读取的时候,进行透明解密,因此在本机打开没有任何问题,这样就能够有效的防止恶意对企业的机密文件进行泄漏,也可以防止U盘丢失等问题。
主要包括一下功能:
依据办公网络实际情况的不同,NiordSec内网安全平台的控制台支持多级管理、广域网部署。在系统平台实际应用中,一般有以下两种应用部署方式:局域网部署和广域网部署。每种方式均支持分级管理。广域网的部署逻辑结构和局域网类似,因此我们以局域网为例讲解系统的部署结构,如下图所示。
五、产品报价清单
【拯救赵明】全面防护网络***服务器负载及安全解决方案相关推荐
- 【拯救赵明】全面防护网络攻击服务器负载及安全解决方案
[拯救赵明] 拿什么拯救我的网站 活动链接:http://51ctoblog.blog.51cto.com/26414/300667 喜欢本文请抽空帮我投下票哈~谢谢各位! 投票地址:http://n ...
- 【拯救赵明】DDoS那些事
[拯救赵明]活动链接:http://51ctoblog.blog.51cto.com/26414/300667 DDoS那些事 两年前,刚到新的工作岗位2个半月的样子,就越到了大麻烦.这个麻烦事情一直 ...
- 【拯救赵明】UTM解决网络安全大问题
随着******手段不断更新,企业面临的威胁也越来越多.进入2010年以后,黄晓明所运营的某大型网站遭遇到僵尸***.蠕虫变种.挂马侵袭等升级版的传统***再次给运维经理赵明敲响了警钟. <?x ...
- 【拯救赵明】 安全方案 超简单
[拯救赵明] 安全方案 安全没有100%,笔者认为只有做好最好的防范,才能防范于未然.说下我的很简单的方法.呵呵! 一.架构调整 二.数据完整性监测系统 三.***检测系统 四.病毒查杀系统 一.架构 ...
- 【java从网络外链接下载文件并回传到其他网络服务器】
java从网络外链接下载文件并回传到其他网络服务器 场景 描述 举例 解决方案 准备 例子 说明,如果是springboot项目 测试 其他更细粒度实现的文件上传至远程(网络)服务器例子 场景 描述 ...
- “拯救网站运维经理赵明”有奖方案征集启事
[51CTO.com独家策划]做网站运维的人都或多或少有过感慨,平时各种故障就很让人抓狂了.更别说遇上***了!不过兵来将挡,水来土掩.有攻就有防.网站怎么做防护?大家需要什么样的技术和产品?咱们不妨 ...
- “拯救网站运维经理赵明”已近尾声
做网站运维的人都或多或少有过感慨,平时各种故障就很让人抓狂了.更别说遇上***了!不过兵来将挡,水来土掩.有攻就有防.网站怎么做防护?大家需要什么样的技术和产品?咱们不妨来看看51CTO独家视频策划& ...
- 负载均衡原理与实践详解 第三篇 服务器负载均衡的基本概念-网络基础
负载均衡原理与实践详解 第三篇 服务器负载均衡的基本概念-网络基础 系列文章: 负载均衡详解第一篇:负载均衡的需求 负载均衡详解第二篇:服务器负载均衡的基本概念-网络基础 负载均衡详解第三篇:服务器负 ...
- 网络负载均衡相关技术-服务器负载
服务器负载均衡( SLB) 是目前最常用的,它是通过将一台服务器虚拟化,表示成一组服务器,即一个服务器群,用来平衡各个服务器的信息量,控制对某一台服务器的访问量.
最新文章
- Ubuntu 系统自带的截图工具screenshot
- linux差分备份,完全和差分备份的自动化模型
- java中怎样存储遍历的数据_【数据算法】Java实现二叉树存储以及遍历
- 实战 Docker+Kubernetes 微服务容器化(二)-微服务带来的问题及解决方案分析
- bootsrtap h5 移动版页面 在苹果手机ios滑动上下拉动滚动卡顿问题解决方法
- my02_Atlas mysql5.7安装配置
- 我的web聊天之---序章
- jquery(ajax)+ashx简单开发框架(原创)
- css怎么让两个table并排_关于CSS布局
- 小米新机“Davinci”跑分曝光: 单核成绩达2574分
- 原生JS事件中,return false 和 preventDefault() 的区别
- Redis监控利器---Redis State
- C++类成员的初始化顺序
- 拓端tecdat|R语言分析股市相关结构:用回归估计股票尾部相关性(相依性、依赖性)
- WampServer 不能打开phpmyadmin 的解决办法
- 给机械硬盘加个缓存:PrimoCache
- 中卫市地图arcgis数据shp道路地名县区边界水系2021年(下载说明)
- EagleEye的特性分析
- AXI_DMAC的寄存器说明
- 计算机一级常用计算公式,软考网络工程师常用计算公式汇总1