xx网站安全解决方案xx网站全解决方案.docVIP

XX网站安全解决方案 网络安全解决方案 上海恒驰信息技术有限 目 录 1 企业面临的威胁 1-4 1.1 应用安全的重要性 1-4 2 应用安全解决方案 2-6 2.1 XX网站现状 2-6 2.2 客户网络现状分析 2-6 2.3 XX网站安全解决方案 2-7 3 部署的产品 3-9 3.1 Hillstone公司简介 3-9 3.1.1 面向应用的高性能防火墙需求 3-10 3.1.2 技术先进性和实用性原则 3-14 3.1.3 高可靠性原则 3-14 3.1.4 易于扩展和升级的原则 3-14 3.1.5 管理和维护的方便性 3-15 3.1.6 网络安全方案设计 3-15 3.1.7 方案描述 3-15 3.2 IntruShield网络入侵防护产品简介 3-17 3.2.1 网络攻击特征检测 3-17 3.2.2 异常检测 3-19 3.2.3 拒绝服务检测 3-19 3.2.4 入侵防护 3-20 3.2.5 实时过滤蠕虫病毒和Spyware间谍程序 3-23 3.2.6 虚拟IPS 3-23 3.2.7 灵活的部署方式 3-24 企业面临的威胁 随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。在信息和网络被广泛应用的今天，Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，任何一个网络管理或使用者都非常清楚，所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。 Internet攻击行为来自于以下方面： a）黑客有目的的远程攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪； b）蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入服务器后为黑客攻击留下后门，同时造成网络拥塞，甚至中断，如NetSky、Mydoom等蠕虫病毒； c）蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。 d）DOS/DDOS攻击的威胁，会造成网络服务中断。 e）网络异常流量 应用安全的重要性 随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁，不断出现的网络攻击，网络病毒，间谍软件，木马程序，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，还给企业和个人带来了信息和经济的损失，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。 通过部署网络防火墙设备，实现： 把内网服务器和Internet做物理隔离，拒绝非法访问 基于服务器的发布，映射服务器特定端口，给Internet用户提供服务 严格的策略的控制 在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。 连接Internet的ISP链路被直接连接到HillStone防火墙上，内部web服务器需通过HillStone防火墙连接到Internet。 为了内部服务器，我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域： 到Internet的链路端口划分到UnTrust区域，Trust区域端口连内部网的交换机。 将防火墙设置为NAT模式。这样就可以保护内部的私有网段，SA系列防火墙有着强大的NAT功能，我们可以根据需要灵活的设置NAT，包括1对1的NAT，基于端口的NAT，源地址NAT和基于目的的NAT等。 HillStone有着强大的访问控制策略设置方法，可以有效保护内部网络对Internet的访问，和公司对互联网提供的各种服务。 通过部署网络入侵防护设备，实现： 探测出黑客攻击，并且实时阻断黑客的攻击； 能够探测出已知和未知的蠕虫，实时阻止这些蠕虫进入自来水公司网络； 探测异常网络流量，阻止进入自来水公司网络； 探测和阻挡DOS/DDOS攻击 McAfee IntruShield（IPS）既能实时阻挡黑客攻击，又能阻挡中、高威胁蠕虫病毒，并且具有完整的阻挡DDOS攻击的能力，包括对抗Syn Flood的Syn-Cookie技术。因此，在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备，用以探测和过滤黑客攻击，网络异常流量（