服务器全面防护网络攻击服务器负载及安全解决方案

一、方案目录省略

随着互联网技术的不断发展,企业开始更多地使用互联网来交付其关键业务应用企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行尤其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大节省IT成本的情况下维持关键应用×24小时工作,保证业务的连续性和用户的满意度。  而对于企业而言其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务众所周知 随着访问用户数量的增加会给单位的服务器和链路带来越来越大的压力如何有效的保证客户访问速度,实现访问流量在各链路和服务器上均衡分配充分利用各链路和服务器资源,是目前企业网络改造的重要目标。

在链路方面为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的 目前大部分的企业都部署了多条互联网链路来提升网络链路的可靠性; 这样通过每条互联网链路为内网分配一个不同的P地址网段来实现对链路质量的保证。这样的解决方案虽然能够解决一些接入链路的单点故障问题,但是这样不仅没有实现真正上的负载均衡,而且配置管理复杂。

1、路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的,最多只能叫做“链路共享”。

2、 出站访问有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可达性但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状况等多变的因素做出精确的路由选择。

 、入站流量,有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DN,就近性路由器负载等机制做出判断哪一条链路可以对外部用户来提供最优的服务。

所以说,传统的多链路接入依靠复杂的设计解决了一些接入链路存在单点故障的问题。但是它远远没有把多链路接入的巨大优势发挥出来。

在服务器方面 由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器实现动态分配每一个应用请求到后台的服务器并即时按需动态检查各个服务器的状态根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配,使每台服务器的处理能力都能得到充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低T投资。

服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它主要能够带来两方面的价值

1、建立有效的负载均衡机制。传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的,不能根据服务器提供服务的具体情况向其转发有效的访问流量,通过构建新的负载均衡系统,可以采用多种负载均衡机制,根据服务器的负载能力智能确定该服务器所分担的负载。主要能够解决如下两个方面的问题:首先,大量的并发访问或数据流量将会被分担到多台设备上分别处理进而减少用户等待响应的时间再者,单个重负载的运算分担到多台节点设备上做并行处理每个节点设备处理结束后将结果汇总,返回给用户,系统处理能力得到大幅度提高。

2、建立有效的健康检查机制。负载均衡系统应该可以对服务器的运行状况做出准确判断确保提供的服务的正确。全面的健康检查机制不仅可以有效的监控到服务进程的有效性即可以对应用端口提供服务的能力进行健康检查,而且对于其后应用逻辑造成的同样可以提供有效的检查机制,从而避免了客户端可以访问到服务器,但得不到正确的响应情况出现。

二、 需求分析

 、服务器的稳定访问。  2、利用安全防护设备预防攻击的发生。  3、在被攻击的过程中,能及时告诫管理员,并记录和阻断骇客行为、特征。  、方案中以被攻击前防御和被攻击时阻断、记录黑客行为的设备为主。

2. 多链路负载均衡 为了提升赵明公司的网站及应用系统的稳定性和可靠性,赵明公司已经部署多条互联网链路以保证网络服务的质量消除单点故障减少停机时间。 目前需要在如下两种情况下实现多条链路的负载均衡:

 、 内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为出站流量的负载均衡。

2、互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。

正对上述问题我们推荐使用台湾众至   rt ch的解决方案可以智能的解决上述问题。

2 2服务器负载均衡

随着访问用户数量的增加,给赵明公司的服务器带来越来越大的压力,如有有效的保证客户访问速度,实现访问流量在各服务器上均衡分配充分利用各服务器资源是目前赵明公司网络改造的重要目标。

赵明公司系统中有多台服务器如果采用服务器群,会造成访问地址的复杂化和负载不平衡。对于每台服务器都必须有相应的唯一的IP地址,给用户的访问和网络管理带来不便;这些服务器之间的流量分配是随机的不会考虑服务器当前的负载情况,在某些情形之下反而造成连接失败。

为了解决上述存在的问题,赵明公司希望通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到,并且故障服务器将会被自动隔离直到其恢复正常后自动加入服务器群实现透明的容错保证服务器整体性能得到大幅提升。

 .3服务器的安全防护

随着网络黑客行为的愈演愈烈,不时传出有知名网站被黑客攻击的新闻使得企业闻黑色变,想方设法的提升自身网络防骇攻击的能力然而并不是所有的企业都有这样的实力。

黑客通过高明的计算机技术侵入别人的网络系统,大肆破坏受害者计算机系统内的文件,或者窃取各种机密信息以达到不可告人的目的。为了能及时的找出这些隐藏着的破坏者并且能阻止其破坏活动所以需要借助安全设备来保护服务器不受攻击,稳定运行。

2  W服务器防篡改  近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、 电子商务的大力开展,网站建设得到了空前发展。然而不幸的是黑客强烈的表现欲望 国内外非法组织的不法企图商业竞争对手的恶意攻击,不满情绪离职员工的发泄等等都将导致网页被“变脸”。 网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、 阅读人群多;复制容易事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。此外,攻击工具简单且向智能化趋势发展据不完全统计,我国 %以上的站点都受到过不同程度的黑客攻击攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。

2 5 内网安全管理

目前的安全措施主要是针对外部网络的访问控制问题对于内部网络的安全,仅仅局限在简单的权限控制和防病毒软件方面。然而根据权威组织的调查报告显示,传统的黑客、木马、病毒等外部威胁仅占20%,而内部泄密、攻击、违章、管理不善等内部威胁竟高达80,真正的威胁来自网络内部。但是目前正在用9%以上的投入解决20%的外部安全威胁问题,而面对高达80%的内部安全威胁,投资几乎微乎其微。 同时如何有效地对内部网络系统进行管理,也是提高办公效率的关键。

三、解决方案 3 1网络拓扑

根据赵明公司网络架构和需求情况,我们推荐使用台湾众至   ree h负载均衡安全网关、北京智恒WebGad网页防篡改系统、长沙锐安信息Niordsec的内网安全平台的综合产品解决方案。本方案设计采用的SaretechAW设备包括服务器负载和多链路负载均衡二合一功能,实现网络中多链路和服务器的智能负载WeGua d的网页防篡改系统保护WE服务器 N  d ec内网产品实现整体内网网络的安全管理;具体部署情况示意图如下:

3 2方案描述

  2 方案设计总体描述 本方案设计采用台湾众至Sharetc A设备来实现网络中实现多条链路的负载均衡和服务器的负载均衡及服务器安全攻击防护W bua d网页防篡改系统保护web服务器;irsec内网安全产品实现整个内网终端的系统安全。

  2 2多链路负载均衡具体实现方式如下:  1、 内部用户需要访问外部服务器,将访问请求发送至Sa etec AW负载平衡网关 Sh rteh W负载平衡网关根据数据包的目的地址判断传输线路。访问电信的数据从电信线路传输,访问网通的数据从网通线路传输;

2、 bCo负载平衡网关将数据发送至目的主机;

3、 目的主机收到数据并作出回应将数据发送给用户。

技术及优势

1、 自动(Autooe):自动选择最佳模式依实际频宽比例);

2、循环分配(Ron oi :W1eW eW3 eW1eWeW …

 、联机(Sesion分配:自订W1W2 3…之Ss i n比例;

4、流量分配Taffic :依照Byte数;

 、封包(Pac ke )分配:依照Pake数

 、埠(P r )依照来源或目的地网际服务指定埠做指定传输的动作(b A ;

7、地址 P):依照来源或目的地IP地址做指定传输的动作(by Ue  ;

8、合并带宽节约用费;

9、主动实时线路备援(Auto Bckp)机制。

服务器负载均衡具体实现方式如下:

1、客户发出服务请求到har ec 设备

 、 Sha eteh W接收到请求,通过预先设定好的负载均衡算法,将数据包中目的IP地址改为选中的后台服务器I地址,然后将数据包发出到后台选定的服务器

 、后台服务器收到后,将应答包按照其路由发回到Saret ch A

、  a eteh AW设备收到应答包后将其中的源地址改回成V 的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。

对于所有应用服务器可以在hareeh A上配置i tual S rver实现负载均衡。

3.  3服务器安全防护具体功能如下

IP 入侵侦测防御)可有效防护威胁攻击并提供『特征数据库』 (S na  e Databas ,900个以上预设攻击模式并可主动在线更新。  预设的『特征数据库』可允许用户自行修改它的Ac  ion与级数。  具备两种Action的模式:Pss及Dop 。

可另外自行定义『特征数据库』 ,藉以防范新类型攻击。

提供威胁攻击记录及报表查询功能以方便分析。  报表查询可查看以下记录:Souce I or De t  na     P相关记录、特征分类相关记录、相关事件内容记录。

病毒过滤(n i-irs)可同时使用内建lam 及选购Sophs两种病毒过滤引擎,可准确地找出夹藏在邮件中的病毒或隐藏于HTP(Web)及FP服务内的病毒且能永久免费的自动更新病毒码(Ca 。这可让SV3550的病毒防护功能,能以最少的成本,永远保持在最新的状态。并且可以对HP( 及TP的存取做病毒扫描,让网络达到最严密的防护。

监控稽核及统计记录针对每笔进出网络的封包做不同的记录处理如系统效能评估,被非法入侵时的证明和追查依据提供图表方式记录过去(日/时/分)时间所有封包的统计流量,并以实时图形化流量分析统计MRG)方便分析与追踪网络使用情况。

  2. EB服务器防篡改实现方式如下

我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进

行自动监测,对文件夹的所有文件内容包含htm 、 asp、   p、 php、 jpeg、 gif、 bmp、psd、 ng、 fla   等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性使得公众无法看到被篡改页面其运行性能和检测实时性都达到最高水准。

3 2.5内网安全管理实现方式如下 iod  内网安全平台是一个完善的内网安全防御体系与常规的网络监控或行为控制软件不同,它综合考虑了内网数据安全和内网有序管理两个方面结合操作系统内核数据加密、网络智能控制和行为分析等先进技术对组织的内部网络进行综合、高强度的保护。

在系统架构上 o S 内网安全平台由一个基础平台和六个子系统组成,如下图所示其中基础平台对整个内网安全系统提供基础设施支撑,如预警、 日志、管理员管理、报表系统等;另外六个子系统分别从网络认证授权、桌面管理、 网络监控、移动存储介质管理、 网络分域管理以及文档安全管理六个方面,对内网安全各个层面的需求进行满足。

  2.易于管理性

Sa eteh AW产品提供https的安全 中英文的界面管理

Sha eech W产品还能够全面统计会话数的运行状况如会话连接数、用户数、应用分布情况、 IP来源等相关情况方便管理员对网络进行优化

四、产品功能介绍  .1 1 Share  h 535G负载均衡安全网关介绍硬盘 250G

网络端口N/LA/DMZ 5 1  1

网络端口速度 10/10   00

 sl Pr

外观 机架式

电源供应 100-25VA

最大处理速度 1640Mp

P认证+3DE加密 19Mbps

SS VPN认证+DE加密 160Mbps

最大联机数

每天邮件最大处理封数每封

1098byes

HT防病毒速度 5ps(双向

TP防病毒速度 510Mbp (双向)

邮件服务器 最大数量 00支援LDAP S rer ○

垃圾邮件 内送邮件扫描 ○内氏过滤法 ○

检查寄件者 地址是否在URL ○

核对指纹辨识数据库 ○

垃圾邮件外置 删除传送转寄

最大垃圾过滤规则 200

个人化规则 ○

最大白名单数量 51 

最大黑名单数据  1 

内送邮件扫描 ○

病毒邮件处置 删除/传送/转寄

FT病毒过滤

TT病毒过滤

EB操作 简体繁体/英文 ○TTPS ○

最大次管理员数量 40

Mlt  ple Sbnt(NA) Rou   ngNAT     r=512)

静态路由表数量 00

DNS最大数量 52

频宽管理 最大条例数  00最大管理频宽 1 0

ut ○

Accout  ng epor  ○

内建最大认证使用群组数量 0 (l icyP)

RDIS ○

POP/DA认证 ○

负载平衡 对内负载平衡功能网域数量 25

对外负载平衡功能 ○

最大排程表数量 00

 对映 512

虚拟服务器 

MAC Adress过滤

内容过滤 最大RL阻挡数量 8000

P Blocing eDoney BTWinX…

M Blckin MSNYahoo/ICQQ/Syp…

Blaster Blcking

允许建立的最大通道数 IPSec  00/2 0T S rver 400/00

PPPC ent 5240

IDP功能

SSLVP

VTunk

Hg    lab  l i y

4.  .2ebGua rd网页防篡改系统介绍  ) 第三代内核驱动防篡改技术  基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;

? 内核级事件触发技术,大大减少系统额外开支;

? 完全防护技术,支持大规模连续篡改攻击防护;

 系统后台自动运行,支持断线状态下阻止篡改;

? 内核出栈校验技术完全杜绝被篡改内容被外界浏览;

?支持单独文件、文件夹及多级文件夹目录内容篡改保护;

2) eb站点安全运行保障

?保护Web服务器的相关重要配置文件不被篡改;

?服务器性能监控阀值报警,预知攻击发生;

?服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;

?服务器进程黑白名单许可控制,防止挂马攻击或后门程序运行;

? 支持服务器多种远程管理功能,紧急情况下便于管理,如远程接管、远程唤醒、远程关机、远程用户注销等;

?支持监测服务器当前系统防火墙,防病毒的使用情况和版本,提高监测服务器的综合防护能力;

3)部署结构灵活 ? 支持多站点、跨平台分布式部署,统一集中管理功能

?支持大规模虚拟机、双机热备网站系统部署架构;

?支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多 多对多等各类灵活网站架构;

4)安全可靠增量发布   支持网页文件自动上传功能和增量发布,无需人工干涉;

? 支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性;

?支持网页自动同步新增、修改、删除、下载等功能

5 日志事件报警

? 自动检测文件攻击记录并实时记入日志支持导出e el报表;

?支持服务运行状态记录,并实时记入日志,支持导出exe报表;

 支持多种告警方式,日志告警、邮件告警或定制其他告警方式;

? 自身操作审计日志记录,详细记录操作管理员的操作管理行为;

6 操作管理安全、方便 ?支持多用户分权管理功能,方便操作;

? 系统/S结构确保高可靠性;

?支持多个策略管理策略设置支持即时生效无需重启;

?数据传输采用加密传输安全可靠

? 支持网页格式类型分类,便于分类管理;

? 系统全中文界面,操作、配置方便网络管理人员仅需十分钟即可熟练完成系统初始配置大大提高工作效率;

7) 网站动态自适应攻击防护 ?支持L注入攻击防护

?支持跨站脚本攻击防护;

?支持对系统文件的访问防护;

? 支持特殊字符构成的UL利用防护

?支持对危险系统路径的访问防护;

?支持构造危险的ooke攻击防护

?各类攻击的变种防护

?支持自定义检测库;

? 规则库支持在线升级功能;

4.1.3iordec内网安全平台系统介绍 我们把内部网络在逻辑上划分为个主要构成部分,核心服务器区域、可信终端区域以及外部风险区域,如下图所示。 N r ec内网安全平台的架构和最后的应用部署都是基于这样的划分。

内网逻辑示意图

核心服务器区域

保存了企业的核心信息,是需要重点管理和保障的区域,例如业务数据库、文件服务器等。

可信终端区域

企业内部合法可信的终端,包含了企业的生产系统、行政系统和其他系统,是需要管理和控制的区域。

外部风险区域

对内网管理存在安全风险的区域,例如外来主机、外部网络等。

我们认为只有对三个区域进行全面的管理,才能保障内网的安全

1 、系统功能  按照上图的划分,NodSe内网安全平台在这几个区域上分别构架了一个功能模块,来实现对内网信息的安全防护。在可信终端区域包括,双因子身份认证,行为日志审计、外部设备控制、文件安全保护、网络管理控制以及员工行为监控等等我们认为这些模块的作用足以证明安装了NordSec客户端的机器上所有的行为是可以控制和审计的是可信的;在核心服务器区域,包括服务资源操作审计、数据库操作审计以及身份认证模块这些功能模块的叠加能够使所有用户对服务资源的访问都接受控制和审计;对于外部风险区域非法主机接入控制模块能够阻断所有非法或不合法用户的进入,保证内部网络的纯洁性。

系统结构图

按照上面的体系结构,下面我们对每个功能模块进行详细描述。

2、用户计算机管理 iordSec内网安全平台对终端提供两种管理模式:基于终端计算机和基于终端用户的管理,这两种管理模式在部署时进行选择。

(  基于终端计算机的管理。这种管理模式没有改变Winows操作系统登录流程,终端安装NiodSec内网安全平台后会产生一个唯一标识该终端的标识码且该标识码在整个使用周期内不能被修改。 NodSe内网安全平台提供的所有监视、控制和管理功能都是基于这个标识码进行。

2基于终端用户的管理。这种管理模式替代了Win ws操作系统的登录流程终端用户在进入Widw操作系统之前,都必须输入安全管理中心统一分配的平台用户名和密码到Niord c服务器进行认证,如果认证成功,则允许进入操作系统否则,则拒绝进入操作系统。为了避免网络和Niordec服务器的故障所带来的登录风险,NordSe内网安全平台提供了还提供了缓存登录以及本地登录等多种辅助措施。在这种基于终端用户的管理模式下,  rdSe内网安全平台提供的所有监视、控制和管理功能是基于用户身份进行的。

两种管理模式的比较: