XX网站安全解决方案.docVIP

XX网站平安解决方案

网络平安解决方案

上海恒驰信息技术有限

目录TOC\o\u

1 企业面临的威胁 1-4

1.1 应用平安的重要性 1-4

2 应用平安解决方案 2-6

2.1 XX网站现状 2-6

2.2 客户网络现状分析 2-6

2.3 XX网站平安解决方案 2-7

3 部署的产品 3-9

3.1 Hillstone公司简介 3-9

面向应用的高性能防火墙需求 3-10

技术先进性和实用性原那么 3-14

高可靠性原那么 3-14

易于扩展和升级的原那么 3-14

管理和维护的方便性 3-15

网络平安方案设计 3-15

方案描述 3-15

3.2 IntruShield网络入侵防护产品简介 3-17

3.2.1 网络攻击特征检测 3-17

3.2.2 异常检测 3-19

3.2.3 拒绝效劳检测 3-19

3.2.4 入侵防护 3-20

3.2.5 实时过滤蠕虫病毒和Spyware间谍程序 3-23

3.2.6 虚拟IPS 3-23

3.2.7 灵活的部署方式 3-24

企业面临的威胁

随着计算机与网络通信技术的开展，越来越多的企业活动建立在计算机网络信息系统的根底上。在信息和网络被广泛应用的今天，Internet上的商务和经济活动的增多对网络系统的平安提出了很高的要求，任何一个网络管理或使用者都非常清楚，所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。

Internet攻击行为来自于以下方面：

a〕黑客有目的的远程攻击入侵，造成信息泄露，或者破坏网络、应用和效劳器系统，造成网络、应用和效劳器系统瘫痪；

b〕蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入效劳器后为黑客攻击留下后门，同时造成网络拥塞，甚至中断，如NetSky、Mydoom等蠕虫病毒；

c〕蠕虫利用操作系统、应用、Web效劳器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如SqlSlammer、Nimda、“冲击波”和Nachi蠕虫病毒。

d〕DOS/DDOS攻击的威胁，会造成网络效劳中断。

e〕网络异常流量

应用平安的重要性

随着计算机与网络通信技术的开展，越来越多的企业活动建立在计算机网络信息系统的根底上。而Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的平安提出了很高的要求，解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁，不断出现的网络攻击，网络病毒，间谍软件，木马程序，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，还给企业和个人带来了信息和经济的损失，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。

通过部署网络防火墙设备，实现：

把内网效劳器和Internet做物理隔离，拒绝非法访问

基于效劳器的发布，映射效劳器特定端口，给Internet用户提供效劳

严格的策略的控制

在web效劳器和Internet的连接局部我们部署一台HillStone系列防火墙。连接Internet的ISP链路被直接连接到HillStone防火墙上，内部web效劳器需通过HillStone防火墙连接到Internet。

为了内部效劳器，我们需要将防火墙上的端口根据需要划分到不同平安级别的平安区域：到Internet的链路端口划分到UnTrust区域，Trust区域端口连内部网的交换机。

将防火墙设置为NAT模式。这样就可以保护内部的私有网段，SA系列防火墙有着强大的NAT功能，我们可以根据需要灵活的设置NAT，包括1对1的NAT，基于端口的NAT，源地址NAT和基于目的的NAT等。

HillStone有着强大的访问控制策略设置方法，可以有效保护内部网络对Internet的访问，和公司对互联网提供的各种效劳。

通过部署网络入侵防护设备，实现：

探测出黑客攻击，并且实时阻断黑客的攻击；

能够探测出和未知的蠕虫，实时阻止这些蠕虫进入自来水公司网络；

探测异常网络流量，阻止进入自来水公司网络；

探测和阻挡DOS/DDOS攻击

McAfeeIntruShield〔IPS〕既能实时阻挡黑客攻击，又能阻挡中、高威胁蠕虫病毒，并且具有完整的阻挡DDOS攻击的能力，包括对抗SynFlood的Syn-Cookie技术。因此，在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备，用以探测和过滤黑客攻击，网络异常流量〔异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入