【51CTO.com 獨(dú)家特稿】拓?fù)湔f(shuō)明：                                       

網(wǎng)絡(luò)出口安裝UTM 防火墻（根據(jù)流量需要，獨(dú)立選擇防火墻各功能模塊）并啟用防毒功能，不對(duì)外開(kāi)啟設(shè)備管理功能，提高防火墻在外網(wǎng)邊緣的安全性；開(kāi)啟SYSLOG 服務(wù)，將通過(guò)防火墻的所有流量以SYSLOG 方式發(fā)送至H3C 管理中心，由該設(shè)備分類管理、統(tǒng)計(jì) 流量；將HTTP  口映射至內(nèi)部的F5 負(fù)載均衡設(shè)備，最小化外網(wǎng)對(duì)于內(nèi)網(wǎng)的權(quán)限訪問(wèn)。開(kāi)啟  防毒功能后，保護(hù)一旦服務(wù)器被攻破后上傳非法木馬等非法軟件。

 核心三層交換機(jī)劃分VLAN，將不同類型的服務(wù)器劃分至不同VLAN。其中，兩臺(tái)WEB服務(wù)器劃分至同一VLAN，將默認(rèn)網(wǎng)關(guān)指定F5  內(nèi)網(wǎng)地址；數(shù)據(jù)庫(kù)服務(wù)器劃分在一個(gè)VLAN，默認(rèn)網(wǎng)關(guān)指定核心三層交換機(jī)；FTP 服務(wù)器劃分至一個(gè)VLAN，默認(rèn)網(wǎng)關(guān)指定至三層交換機(jī)。

在各VLAN  中配置ACL，根據(jù)需要，只允許指定的流量，畢免當(dāng)一臺(tái)服務(wù)器被攻擊破并被上傳后門(mén)程序后，作為黑客“跳板”至其他服務(wù)器。

F5 負(fù)載均衡設(shè)置為單臂方式，在交換機(jī)中分別將F5  內(nèi)、外接口劃分至不同VLAN，內(nèi)、外部接口配置地址，確保設(shè)備與網(wǎng)絡(luò)的互通；F5 可針對(duì)于內(nèi)網(wǎng)WEB 服務(wù)器的管理性能、延 時(shí)等多種條件智能管理兩臺(tái)服務(wù)器的流量均衡。

服務(wù)器前端安裝IPS （如可選配置成透明方式），當(dāng)服務(wù)器被黑客攻擊但UTM 無(wú)法識(shí)別為攻擊時(shí)，服務(wù)器前端的IPS 設(shè)備可保護(hù)服務(wù)器的安全；開(kāi)啟SYSLOG 服務(wù)，將目標(biāo)SYSLOG服務(wù)器定義為H3C 安全管理中心，通過(guò)IPS 的所有流量全部發(fā)送至管理中心。

數(shù)據(jù)庫(kù)、FTP 服務(wù)器前端安裝IDS 設(shè)備，并開(kāi)啟SYSLOG 服務(wù)，該設(shè)備只記錄攻擊信息并生成攻擊日志，以多種方式向管理員告警；同時(shí)，IDS 通過(guò)SYSLOG 方式將截取的流量信息發(fā)至H3C 安全管理中心。

H3C 管理中心可收集網(wǎng)絡(luò)中各種設(shè)備的流量信息（需要網(wǎng)絡(luò)設(shè)備開(kāi)啟SYSLOG 服務(wù)并將服務(wù)器提定為H3C 管理中心），生成管理表格并分類，通過(guò)設(shè)備本身的分析功能將各類流量分析為不同的警告等級(jí)，當(dāng)UTM、IPS、IDS 等設(shè)備無(wú)法攔截或記錄攻擊方法時(shí)，管理中心可作為最后一道安全信息記錄分析系統(tǒng)，將攻擊警告以多種提示方式發(fā)送至管理員接收設(shè)備。服務(wù)器（windows 系統(tǒng)）只開(kāi)啟相關(guān)服務(wù)的指定端口，將其他無(wú)用端口如：445、135、139 等端口關(guān)閉，同時(shí)更改默認(rèn)管理員的口令，并滿足復(fù)雜性要求；服務(wù)器開(kāi)啟審計(jì)功能，對(duì)登入事件等審計(jì)失敗、成功；配置WMI 將各種日志信息發(fā)送至H3C 安全管理中心；啟用安全策略，更改默認(rèn)登入錯(cuò)誤次數(shù)的鎖定（如更改為錯(cuò)誤2 次以上鎖定系統(tǒng)30 分等）。

【編輯推薦】

1. Juniper防火墻加綠盟冰之眼加固網(wǎng)站(拯救趙明)
2. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案