- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
关于云防护方案的调研报告
近日,公司XX医生信息平台项目即将立项建设,为增强公司互联网信息系统的安全防护能力,妥善应对信息系统可能遭受的拒绝服务攻击、入侵攻击、恶意扫描等攻击行为,结合XX医生信息平台的安全防护需求,降低信息系统总体建设及运维成本,根据公司领导要求,我部调研了云防护服务情况,现将相关情况报告如下:
一、安全防护需求
根据公司XX医生信息平台的安全防护需求,结合我部在公司互联网信息系统扫描中发现的安全问题,公司互联网信息系统安全防护应具备以下能力:
1、防御常见WEB攻击、漏洞攻击、恶意扫描等攻击;
2、防御一定规模的流量攻击、CC攻击等拒绝服务攻击;
3、通过链路负载均衡满足两条运营商互联网线路的正常访问;
4、通过CDN加速等方式提高应用访问速度和稳定性。
按照证联网部提供的系统建设方案和安全产品指标要求,原有方案采取本地部署安全设备,如图1所示:
1、抗DDOS设备防护拒绝服务攻击;
2、链路负载均衡设备动态调节联通和移动两条线路的访问流量;
3、IPS设备、WAF设备防护系统攻击、WEB攻击;
4、CDN技术对网站访问进行加速。
二、云防护服务情况
云防护服务是近两年新兴的安全防护模式,服务提供方通过互联网建立大规模的防护集群,向服务使用方提供抗拒绝服务攻击防护、WEB攻击防护、CDN加速服务等安全防护。服务使用方通过修改网站的域名解析到云防护提供商的防护节点,获取对应的安全防护能力。
目前云防护服务提供的安全功能主要包括以下方面,完全能够实现我们的防护需求:
1、WEB攻击防护,可对WEB攻击手段进行防护,将过滤后的正常访问流量转发给后端服务器。
2、DDoS防护:云防护服务提供商在互联网建立多个防护中心,可发现业务流量中的攻击流量,并对流量进行清洗,将过滤后的正常访问流量转发给后端服务器。
3、链路负载均衡:云防护平台支持对用户的多条互联网线路进行轮询访问。
4、CDN加速:利用DNS多线路解析和缓存技术,智能选择响应速度最快的线路。
如采取云防护服务,服务接入示意如图2所示。只将被防护网站的域名别名记录(CNAME)指向云防护服务商的防护节点,两条互联网专线正常配置即可。
图2 云防护接入示意
我们对两种模式进行了比较(如表1所示),云防护服务在采购成本、扩展能力、线路带宽、防护技术等方面具备一定优势,更加符合我们的需求,建议选择云防护服务模式。
表1采购模式比较
自行采购安全设备模式
租赁云防护服务模式
采购成本
购买全套安全设备,一次性投入成本较大
按服务年度付费,年度投入成本较低
扩展能力
扩展性差,如提升防护能力需要重新购置设备
扩展灵活,按需使用,向服务商购买扩展能力
部署维护
自行部署硬件设备,配备维护人员进行设备维护、策略调整等
无需本地部署设备,维护人员只需查看服务商推送的有效告警即可
网络带宽要求
考虑互联网大规模并发请求,线路带宽要求较大
只需跟服务商云节点通信,降低线路带宽要求
抗DDOS防护能力
出口带宽及设备性能决定,只能防御小规模攻击
服务商部署多个节点分担攻击流量,支持防御较大规模的流量攻击
WEB攻击防护能力
支持用户自定义策略,但需专门人员配置维护
能利用服务商专业安全能力,无需用户自定义策略
三、云防护服务工作模式
云防护服务工作模式如图3所示:
1、公司网站侧的配置:在域名注册商处将域名解析配置为域名别名记录(CNAME);在云防护节点处配置CNAME和防护站点IP地址对应记录;公司防火墙配置容许云防护节点访问。
2、对于使用域名访问的用户流量,用户通过域名DNS Server查询解析,获取云防护节点的IP地址;访问请求发往云防护节点;云防护节点通过安全检测、过滤后,将正常访问流量传递给公司网站;将恶意攻击流量进行过滤,起到防护作用。如图2中1-7所示。
3、对于直接访问网站IP地址的流量,公司防火墙直接拒绝访问,起到防护作用。
图3 云防护服务工作模式
云防护服务内容主要包括安全防护和CDN加速两大类,其中安全防护主要包括WEB攻击防护、恶意扫描防护、抗拒绝服务攻击、网站防篡改锁定等安全功能;CDN加速是通过CDN节点缓存提高页面访问速度。
四、云防护服务商调研
云防护服务为近两年新兴的服务模式,由于云防护服务商需要在互联网上建立大规模的安全防护集群,中小规模的安全企业很难提供类似服务。目前提供云防护服务的多为互联网安全企业,尤其是有腾讯、百度、阿里、360等互联网企业支持的安全企业。
(一)知道创宇公司的创宇盾
创宇盾是北京知道创宇公司开发的一款基于云与大数据技术的Web系统云防御平台。在全国各重要互联网节点建立了 30个高防高性能机房,共500G骨干网带宽,以公有云或私有云方式提供集中防护。目前创宇盾共为83万网站提供安全防护,其中重点客户包括有公安部、
文档评论(0)