偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

給趙明的網(wǎng)站安全整改方案

原創(chuàng)
安全 應(yīng)用安全
不了解現(xiàn)狀,不分析現(xiàn)狀,不找到問(wèn)題,就無(wú)從談起方案整改,為此我們先分析下趙明的網(wǎng)站網(wǎng)絡(luò)安全現(xiàn)狀。

【51CTO.com獨(dú)家特稿】1. 網(wǎng)站現(xiàn)狀與存在的問(wèn)題分析

不了解現(xiàn)狀,不分析現(xiàn)狀,不找到問(wèn)題,就無(wú)從談起方案整改,為此我們先分析下趙明的網(wǎng)站網(wǎng)絡(luò)安全現(xiàn)狀。


這個(gè)圖是視頻最后提供的一份網(wǎng)絡(luò)拓?fù)洌瑥倪@份拓?fù)渖?,我們可以了解如下信息?/P>

1) 趙明負(fù)責(zé)維護(hù)的網(wǎng)站,主要提供web服務(wù),并且有2臺(tái)web應(yīng)用服務(wù)器同時(shí)提供服務(wù);

2) web服務(wù)器后臺(tái)存在獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器

3) 互聯(lián)網(wǎng)接入,首先連接的是負(fù)載均衡器,并由該設(shè)備采用負(fù)載均衡方式將流量分配到主、被web應(yīng)用服務(wù)器,保證系統(tǒng)高效運(yùn)行;

4) 整改網(wǎng)絡(luò)上沒(méi)有網(wǎng)絡(luò)安全防護(hù)設(shè)備,沒(méi)有對(duì)重要服務(wù)器進(jìn)行獨(dú)立保護(hù)。

從上述信息,我們可以分析得到所存在的主要安全技術(shù)問(wèn)題如下::

1) 互聯(lián)網(wǎng)接入邊界,沒(méi)有防護(hù)設(shè)備,互聯(lián)網(wǎng)對(duì)應(yīng)用服務(wù)器的訪問(wèn)不受任何訪問(wèn)控制與檢測(cè),容易遭受來(lái)自互聯(lián)網(wǎng)的各種攻擊,包括Dos/DDos、SQL注入等等;

2) 網(wǎng)絡(luò)內(nèi)部,沒(méi)有將主/備應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)等進(jìn)行獨(dú)立保護(hù),他們之間的網(wǎng)絡(luò)互訪沒(méi)有任何限制;

3) 網(wǎng)絡(luò)內(nèi)部沒(méi)有網(wǎng)絡(luò)流量審計(jì)系統(tǒng),對(duì)于來(lái)自互聯(lián)網(wǎng)的訪問(wèn),沒(méi)有進(jìn)行審計(jì)記錄,無(wú)法追查任何惡意訪問(wèn)、攻擊事件。

此外,我們?cè)诓シ诺内w明視頻中,還可以很容易的發(fā)現(xiàn)所存在的管理問(wèn)題:

1) 工作時(shí)間休息開(kāi)小差——睡覺(jué),即使有網(wǎng)絡(luò)監(jiān)控設(shè)備,也會(huì)因?yàn)闆](méi)有技術(shù)人員的適當(dāng)操作配合,而讓入侵繼續(xù)造成破壞;

2) 沒(méi)有應(yīng)急方案,發(fā)現(xiàn)入侵,只是憤慨,沒(méi)有相應(yīng)的應(yīng)對(duì)操作流程。

2. 整改目標(biāo)

針對(duì)上述存在的問(wèn)題,我們可以很容易確定本次整改方案目標(biāo):

1) 提升整改網(wǎng)絡(luò)、對(duì)外應(yīng)用服務(wù)器的抗攻擊能力;

2) 實(shí)現(xiàn)對(duì)攻擊事件、訪問(wèn)事件的實(shí)時(shí)監(jiān)控能力;

3) 通過(guò)合理的網(wǎng)站備份,能及時(shí)恢復(fù)受攻擊的網(wǎng)站;

4) 制定安全管理、安全運(yùn)維、應(yīng)急操作管理制度和流程。

3. 整改方案說(shuō)明

3.1. 網(wǎng)絡(luò)拓?fù)?/STRONG>


3.2. 方案說(shuō)明

安全區(qū)域劃分

如圖示,劃分為主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫(kù)服務(wù)器區(qū)、備用服務(wù)器區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),安全區(qū)域劃分后,可以很方便明確哪個(gè)區(qū)域容易遭受攻擊,哪個(gè)區(qū)域需要重點(diǎn)保護(hù)等等,并且可以進(jìn)一步在相應(yīng)的區(qū)域間部署相應(yīng)網(wǎng)絡(luò)安全設(shè)備。

互聯(lián)網(wǎng)防火墻部署

如圖①所示,在互聯(lián)網(wǎng)接入邊界,部署作為基本防護(hù)措施的防火墻設(shè)備,實(shí)現(xiàn)端口級(jí)別的控制,降低到下一個(gè)設(shè)備的違規(guī)流量。

Web防火墻部署

如圖②所示,部署web防火墻,實(shí)現(xiàn)對(duì)網(wǎng)站合法端口上的各種攻擊防護(hù),如SQL注入攻擊、跨站攻擊等等,并記錄網(wǎng)站訪問(wèn)行為。

內(nèi)網(wǎng)防火墻部署

如圖③所示,部署內(nèi)網(wǎng)區(qū)域隔離防火墻,對(duì)主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫(kù)服務(wù)器區(qū)、備用服務(wù)器區(qū)之間的網(wǎng)絡(luò)互訪進(jìn)行訪問(wèn)控制,隔離其他不需要的流量。

入侵檢測(cè)系統(tǒng)部署

如圖④所示,部署入侵檢測(cè)系統(tǒng),同時(shí)檢測(cè)內(nèi)網(wǎng)2個(gè)交換機(jī)的網(wǎng)絡(luò)流量,對(duì)內(nèi)部流量、互聯(lián)網(wǎng)流量進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)透過(guò)web防火墻的入侵流量,并進(jìn)行報(bào)警,必要時(shí)可以與互聯(lián)網(wǎng)接入防火墻實(shí)現(xiàn)安全聯(lián)動(dòng)。

4. 方案效果說(shuō)明

通過(guò)上述整改后的網(wǎng)絡(luò)安全方案,至少可以實(shí)現(xiàn)如下效果:

1) 在互聯(lián)網(wǎng)接入部分,同時(shí)部署有防火墻和web防火墻,可以各司其職的分別對(duì)網(wǎng)絡(luò)端口、應(yīng)用流量攻擊進(jìn)行檢測(cè)和自動(dòng)阻斷,只要設(shè)備特別是web防火墻的特征碼實(shí)時(shí)更新,基本可以防護(hù)所有的來(lái)自互聯(lián)網(wǎng)的攻擊。另外上述設(shè)備具備的日志功能,可以基本滿足對(duì)攻擊日志、日常訪問(wèn)日志的記錄和審計(jì)使用;

2) 在內(nèi)網(wǎng),按照應(yīng)用系統(tǒng)的安全級(jí)別、使用方式等進(jìn)行安全區(qū)域劃分,并通過(guò)內(nèi)網(wǎng)防火墻實(shí)現(xiàn)區(qū)域間訪問(wèn)控制,進(jìn)一步加強(qiáng)內(nèi)部網(wǎng)絡(luò)互訪控制措施;

3) 在內(nèi)網(wǎng)部署入侵檢測(cè)系統(tǒng),是作為web防火墻的補(bǔ)充和二次檢測(cè)使用,建議此處使用與web防火墻不同品牌的入侵檢測(cè)系統(tǒng),使用不同的攻擊代碼特征庫(kù),實(shí)現(xiàn)互補(bǔ)措施,并且通過(guò)該設(shè)備,可以對(duì)網(wǎng)絡(luò)內(nèi)部、互聯(lián)網(wǎng)流量情況進(jìn)行報(bào)表分析,便于管理員實(shí)施了解網(wǎng)絡(luò)訪問(wèn)狀況。

其他方面,“三份技術(shù),七分管理”,是經(jīng)常提起的一句話,現(xiàn)狀也說(shuō)明趙明的運(yùn)維確實(shí)存在安全管理問(wèn)題,所以建議趙明完善網(wǎng)絡(luò)安全運(yùn)維制度、應(yīng)急響應(yīng)操作規(guī)范等制度規(guī)范,不要再工作時(shí)間睡覺(jué),不要再發(fā)現(xiàn)入侵時(shí)無(wú)所事事。

【51CTO.COM 獨(dú)家特稿,轉(zhuǎn)載請(qǐng)注明出處及作者!】

【編輯推薦】

  1. Juniper防火墻加綠盟冰之眼加固網(wǎng)站(拯救趙明)
  2. 防火墻加web應(yīng)用防火墻解決趙明問(wèn)題
責(zé)任編輯:許鳳麗 來(lái)源: 51CTO.com
相關(guān)推薦

2010-04-22 11:53:15

2010-05-31 14:31:51

2010-05-31 11:38:00

2010-04-21 11:26:55

2010-04-20 21:55:36

2010-04-13 00:13:24

2010-06-12 11:49:03

2010-04-22 14:39:27

2013-05-21 11:31:06

2010-04-21 11:00:41

2010-04-13 14:20:32

2010-06-12 15:24:33

2010-06-12 09:27:40

2010-05-31 11:10:20

2010-06-12 15:58:17

2010-05-25 21:56:00

2010-05-31 12:13:23

2010-04-22 01:19:32

2010-06-22 16:34:31

2010-05-19 10:13:21

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)