致力于行业领跑者

不只有产品,更注重于服务。

您现在所在的位置: 首页 > 解决方案 > 安全建设 > 网站安全
 

企业面临的威胁

        随着计算机联手网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。在信息和网络被广泛应用的今天,Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。
Internet攻击行为来自于以下方面:
a)黑客有目的的远程攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;
b)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入服务器后为黑客攻击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;
c)蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。
d)DOS/DDOS攻击的威胁,会造成网络服务中断。
e)网络异常流量

应用安全的重要性

        随着计算机联手网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁,不断出现的网络攻击,网络病毒,间谍软件,木马程序,并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。

通过部署网络防火墙设备,实现:
  • 把内网服务器和Internet做物理隔离,拒绝非法访问
  • 基于服务器的发布,映射服务器特定端口,给Internet用户提供服务
严格的策略的控制

在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。 连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web服务器需通过HillStone防火墙连接到Internet。
         为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。
将防火墙设置为NAT模式。这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。

HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。

通过部署网络入侵防护设备,实现:
  • 探测出黑客攻击,并且实时阻断黑客的攻击;
  • 能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;
  • 探测异常网络流量,阻止进入自来水公司网络;

探测和阻挡DOS/DDOS攻击

        IPS既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括对抗Syn Flood的Syn-Cookie技术。因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入Nach Ping、Sql Slammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样)、DOS/DDOS攻击。

应用安全解决方案

网站现状

某网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全措施,web服务器完全暴露在公网上,存在很大的安全隐患,还时常遭受黑客的攻击,导致正常访问的中断。
某网站拓扑结构示意图如下所示:

客户网络现状分析

面临的外部安全威胁:

  • 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;
  • 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
  • 蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒;
  • 面临DOS/DDOS攻击,造成网络服务中断;
  • P2P、IM等特殊应用缺乏管理和阻断的手段;
  • 越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;
  • 来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其阻断。

某网站安全解决方案

基于某网站以上问题,负责的态度建议客户从网关处部署一整套安全防护系列产品来完善企业网站的安全建设,其中包括:
  • 安全防火墙
  •  入侵检测设备
根据以上的安全威胁分析,我们需要采取相应措施解决这些安全问题,因此,安全需求可以归纳为以下几方面:
  • 设定严格的策略控制,阻止非授权的访问;
  • 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;
  • 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;
  • 能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播;
  • 能够检测异常网络流量,有效阻断DoS/DDoS攻击;
  • 能够检测针对网络的加密攻击;
  • 能够对整个客户网络进行实时、准确、全面的入侵防护;
  • 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议;
  • 发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全;
  • 需要依照全行的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;
  • 最后,客户更需要建立一个信息安全管理体系,通过一定的基本原则和管理流程,整合好目前已经部署和使用的安全产品,真正做到对安全风险的有效管理。
产品部署之后的网络示意图如下:

联系我们

电话:0411-86725599/84175777

传真:0411-86725599-8008

Email:admin@hejiechina.com

地址: 大连市沙河口区黄河路858号

环亚国际娱乐登录