XX网站安全解决方案.doc
《XX网站安全解决方案.doc》由会员分享,可在线阅读,更多相关《XX网站安全解决方案.doc(26页珍藏版)》请在咨信网上搜索。
1、XX网站安全解决方案网络安全解决方案上海恒驰信息技术有限目 录1企业面临的威胁1-41.1应用安全的重要性1-42应用安全解决方案2-62.1XX网站现状2-62.2客户网络现状分析2-62.3XX网站安全解决方案2-73部署的产品3-93.1Hillstone公司简介3-93.1.1面向应用的高性能防火墙需求3-103.1.2技术先进性和实用性原则3-143.1.3高可靠性原则3-143.1.4易于扩展和升级的原则3-143.1.5管理和维护的方便性3-153.1.6网络安全方案设计3-153.1.7方案描述3-153.2IntruShield网络入侵防护产品简介3-173.2.1网络攻击特
2、征检测3-173.2.2异常检测3-193.2.3拒绝服务检测3-193.2.4入侵防护3-203.2.5实时过滤蠕虫病毒和Spyware间谍程序3-233.2.6虚拟IPS3-233.2.7灵活的部署方式3-241 企业面临的威胁随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。在信息和网络被广泛应用的今天,Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。Internet攻击行为来自于以下方面:a)黑客有目的的远程攻击入侵,造成信息泄
3、露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;b)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入服务器后为黑客攻击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;c)蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d)DOS/DDOS攻击的威胁,会造成网络服务中断。e)网络异常流量1.1 应用安全的重要性随着计算机与网络通信技术的发
4、展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁,不断出现的网络攻击,网络病毒,间谍软件,木马程序,并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。通过部署网络防火墙设备,实现:1. 把内网服务器和Internet做物理隔离,
5、拒绝非法访问2. 基于服务器的发布,映射服务器特定端口,给Internet用户提供服务3. 严格的策略的控制在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。 连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web服务器需通过HillStone防火墙连接到Internet。为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。将防火墙设置为NAT模式。这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我
6、们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。通过部署网络入侵防护设备,实现:1. 探测出黑客攻击,并且实时阻断黑客的攻击;2. 能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;3. 探测异常网络流量,阻止进入自来水公司网络;4. 探测和阻挡DOS/DDOS攻击McAfee IntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括
7、对抗Syn Flood的Syn-Cookie技术。因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入Nach Ping、Sql Slammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样)、DOS/DDOS攻击。2 应用安全解决方案2.1 XX网站现状XX网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全措施,web服务器完
8、全暴露在公网上,存在很大的安全隐患,还时常遭受黑客的攻击,导致正常访问的中断。XX网站拓扑结构示意图如下所示:2.2 客户网络现状分析面临的外部安全威胁:1. 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;2. 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;3. 蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slamme
9、r、Ni集成商a、“冲击波”和Nachi蠕虫病毒;4. 面临DOS/DDOS攻击,造成网络服务中断;5. P2P、IM等特殊应用缺乏管理和阻断的手段;6. 越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;7. 来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其阻断。2.3 XX网站安全解决方案基于XX网站以上问题,上海恒驰信息有限公司处于负责的态度建议客户从网关处部署一整套安全防护系列产品来完善企业网站的安全建设,其中包括:1. Hillstone安全防火墙2. McAfee IntruShield 入侵检测设备根据以上的安全威胁分析,
10、我们需要采取相应措施解决这些安全问题,因此,安全需求可以归纳为以下几方面:(1) 设定严格的策略控制,阻止非授权的访问;(2) 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;(3) 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;(4) 能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播;(5) 能够检测异常网络流量,有效阻断DoS/DDoS攻击;(6) 能够检测针对网络的加密攻击;(7) 能够对整个客户网络进行实时、准确、全面的入侵防护;(8) 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建
11、议;(9) 发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全;(10) 需要依照全行的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;(11) 最后,客户更需要建立一个信息安全管理体系,通过一定的基本原则和管理流程,整合好目前已经部署和使用的安全产品,真正做到对安全风险的有效管理。产品部署之后的网络示意图如下:3 部署的产品3.1 Hillstone公司简介山石网科通信技术(北京)有限公司(以下简称“山石网科”)创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国
12、北京,并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设备提供商。 目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由来自 Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金,设有系统架构部,系统运营 部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。 自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客
13、户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。山石 网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服 务于中国高速发展的网络市场。作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立 了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!3.1.1
14、 面向应用的高性能防火墙需求传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP(网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙可以实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括目前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。基于以上原因,Hillstone全线产品采用了创新的新一代网络安
15、全架构,硬件平台采用64位高性能的多核处理器Multi-Core CPU(多达16核),内部传输采用高达24Gbps高速交换总线,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能,使
16、得Hillstone安全产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone安全产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASICNP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而目前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASICNP架构而采用纯CPU的架构。Hillstone采用多核处理器,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性
17、能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone安全产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。强健的专用实时64位并行操作系统(Robust Specific Real time Operating System)Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率
18、、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。 众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。目前,专用定制的操作系统被广泛采用。Hillstone安全产品均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进行了全面优化,使得系统具有更高的处理
19、效率和稳定性。模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。高可靠性和稳定性(High Reliability and Stability) 积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone安全产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。最低的总体拥有成本(Lowest TCO)Hillstone全线
20、产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。Hillstone安全产品解决方案特点:l 创新的新一代网络安全架构l 高性能的综合安全系统l 高可靠性和扩展性l 高性价比l 丰富的安全特性l 最低的TCOl 友好和易于使用的管理界面l 细粒度的安全参数调整l 杰出的内容安全综合处理能力l 灵活的部署特性,易于部署和维护l 全面的产品线,满足不同用户的需求l 专业的技术支持和销售团队l P2P/IM应用的安全控制和细粒化管理根据企业网络应用系统的现状以及未
21、来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。
22、而这些垃圾包必然对网络设备的负载有着极大影响。随着Internet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。同时安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所
23、带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。通过对各类防火墙的比较分析,我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。3.1.2 技术先进性和实用性原则网络安全方案中采用技术,具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势,并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络安全技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 网站 安全 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。