网站安全整体方案.doc

前言 在网络应用越来越多的今天，对于一个ICP（Internet内容供应商）来说，拥有大量的访问量和用户是ICP的目标，但这样，又会带来系统安全、网络带宽与服务器处理能力的大量需求。 - 目标对恶意攻击包的消化能力加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。 这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。 被DDoS攻击时的现象包括： 被攻击主机上有大量等待的TCP连接。 网络中充斥着大量的无用的数据包，源地址为假。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。 严重时会造成系统死机。 由于以上所说，如果网站服务器受到DOS和DDOS攻击的时候，很容易就会瘫痪。所以如果有需要的话，可以再借助专门的安全设备来做这样的工作。一般来说，对于网站的防护，使用防火墙基本可以做到很好的保证服务器的正常运行。 在做完了网关处的防护之后，我们还可以根据需要在内部进行应用层的防护。比如，内部如果有多台服务器的话，可以使用网络版的杀毒软件来进行集中的防护。因为如果服务器内网的防毒做的不好,制作出来的网页就含有病毒.对用户危害极大.如果服务器位于北方或使用网通的链路,那就要考虑是不是会有南方的用户或使用南电信的用户要访问这个网站.如果有,那网站至少要两条链路接入负载均衡这个问题也是这个一两年才提出的一个大的网站不可能只有一台服务器来支撑,有可能这一个地区就需要3-4台服务器的支持怎么样让这3-4台服务器全部都工作,而不出现一台服务器工作状态很忙,其他服务器处于空闲状态呢?这个就需要负载均衡来解决了