压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　某單位雜志社網(wǎng)絡(luò)安全建設(shè)報告

　　一、項目背景

　　某單位雜志社門戶網(wǎng)站中國畜牧獸醫(yī)信息網(wǎng)www.cav.net.cn為全國群眾提供有關(guān)畜牧方面的各類技術(shù)支持以及相關(guān)法律法規(guī)的宣傳工作，對我國畜牧業(yè)的發(fā)展起著非常重要的意義。

　　目前某單位雜志社機房，放置了一臺對外發(fā)布的Web服務(wù)器，主要向因特網(wǎng)外網(wǎng)區(qū)域提供服務(wù)，所以面臨來自外網(wǎng)繁雜的安全威脅，作為國家畜牧技術(shù)及信息的門戶網(wǎng)站，其安全保障意義重大。

　　二、現(xiàn)狀分析

　　2.1 現(xiàn)網(wǎng)安全分析

　　某單位雜志社網(wǎng)站的對外發(fā)布的Web服務(wù)器位于某單位的總機房內(nèi)，并直接連接到路由器，具有兩條網(wǎng)絡(luò)鏈路出口，一條為直接連接互聯(lián)網(wǎng)，一條為2M的專線連接到農(nóng)業(yè)部總局。

　　圖1某單位雜志社網(wǎng)絡(luò)現(xiàn)狀

　　由于Web服務(wù)器前端缺乏網(wǎng)絡(luò)安全設(shè)備的防護，導致目前中國畜牧獸醫(yī)信息網(wǎng)經(jīng)常遭到黑客的攻擊，比如網(wǎng)頁的篡改、網(wǎng)頁掛馬、甚至導致網(wǎng)絡(luò)用戶無法正常訪問網(wǎng)站的現(xiàn)狀，嚴重影響了某單位的形象以及日常工作的正常進行。由于安全防護的不足，必須要求網(wǎng)管運維人員頻繁對網(wǎng)站進行監(jiān)督以及對攻擊的破壞行為進行及時修改，在很大程度上造成了管理人員的工作壓力。

　　2.2 現(xiàn)網(wǎng)安全威脅

　　面對現(xiàn)網(wǎng)防護能力不足的情況，主要會導致以下安全威脅：

　　1、網(wǎng)頁篡改問題

　　網(wǎng)頁篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的Web網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內(nèi)容。一般來說網(wǎng)頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的影響，但對于重要的Web業(yè)務(wù)，需要與用戶通過Web業(yè)務(wù)進行溝通的應(yīng)用而言，就意味著Web業(yè)務(wù)將被迫停止服務(wù)，對某單位雜志社的經(jīng)濟利益、企業(yè)形象及信譽會造成嚴重的損害。

　　2、網(wǎng)頁掛馬問題

　　網(wǎng)頁掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對而言這種問題會比較隱蔽，但本質(zhì)上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬會導致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的經(jīng)濟損失。這種問題出現(xiàn)在Web業(yè)務(wù)中也嚴重影響某單位雜志社的正常運作并影響到公司的公信度。

　　3、漏洞利用攻擊

　　利用web服務(wù)器、數(shù)據(jù)庫服務(wù)器、中間件服務(wù)器等網(wǎng)站服務(wù)器本身應(yīng)用程序、操作系統(tǒng)、應(yīng)用軟件的漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊，可造成使黑客獲取更高的服務(wù)器權(quán)限、使服務(wù)器癱瘓導致服務(wù)器、存儲等資源被攻擊的問題。

　　4、敏感信息泄漏問題

　　這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺數(shù)據(jù)庫，導致數(shù)據(jù)庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對于承載多種Web業(yè)務(wù)而言是致命的打擊，可產(chǎn)生巨大的經(jīng)濟損失。

　　5、無法響應(yīng)正常服務(wù)的問題

　　黑客通過DOS/DDOS拒絕服務(wù)攻擊使WEB服務(wù)器無法響應(yīng)正常請求。這種攻擊行為使得Web服務(wù)器充斥大量要求回復的信息，嚴重消耗網(wǎng)絡(luò)系統(tǒng)資源，導致Web業(yè)務(wù)無法響應(yīng)正常的服務(wù)請求。對于Web業(yè)務(wù)而言是巨大的威脅。

　　為了防止網(wǎng)站及服務(wù)器遭到攻擊及破壞，我們急需建立一個安全的網(wǎng)絡(luò)環(huán)境以保證網(wǎng)站的正常訪問和降低網(wǎng)管人員的工作壓力。

　　三、解決方案

　　3.1 建議方案

　　通過對某單位雜志社網(wǎng)絡(luò)的綜合分析，保證業(yè)務(wù)的正常進行，現(xiàn)需要在Web服務(wù)器前增加一臺深信服防火墻來保證整個網(wǎng)絡(luò)的安全要求。如圖2所示。

　　3.2 方案價值

　　深信服下一代防火墻部署在服務(wù)器前端，避免了服務(wù)器遭受黑客的各種攻擊，防止了網(wǎng)頁篡改、網(wǎng)頁掛馬、系統(tǒng)癱瘓等威脅，有效的降低了網(wǎng)管人員的工作壓力。

　　其具體價值點表現(xiàn)為：

　　1. 全面的防護能力

　　下一代應(yīng)用防火墻并不等同于傳統(tǒng)設(shè)備功能的疊加，而是智能的融合了傳統(tǒng)防火墻、系統(tǒng)漏洞入侵防護、web應(yīng)用漏洞防護、網(wǎng)關(guān)病毒查殺、APT攻擊檢測和防護等多種安全功能，并且實現(xiàn)了多個安全模塊之間的智能聯(lián)動以及全模塊開啟高性能的特點，保證業(yè)務(wù)系統(tǒng)的高可靠性。

　　2.便捷的網(wǎng)絡(luò)管理

　　設(shè)計方案采用了目前安全系統(tǒng)通用的、成熟的架構(gòu)設(shè)計方案，一體化的安全設(shè)備更易于用戶的管理和運維，大大提升了工作效率。

　　3.高可用性

　　產(chǎn)品已在市場上長期使用，不存在較難解決的新設(shè)備、新技術(shù)帶來的技術(shù)難點，廠家、代理商、集成商的技術(shù)人員基本都可以調(diào)試配置，一旦硬件損壞也有替換產(chǎn)品進行快速替換。

　　4.易延展性

　　當前服務(wù)器只作為Web網(wǎng)站系統(tǒng)的平臺，后期如有業(yè)務(wù)增加需求，比如郵箱服務(wù)、數(shù)據(jù)存儲等業(yè)務(wù)，深信服下一代防火墻可對其進行全面的防護，保證各類業(yè)務(wù)的正常進行。

　　四、設(shè)備功能詳解

　　4.1下一代防火墻安全防護

　　在Web服務(wù)器前端部署深信服下一代防火墻設(shè)備。提供L2-7層的防護，全面應(yīng)對來自應(yīng)用層的各種威脅攻擊

　　4.2全面的應(yīng)用安全防護能力

　　深信服下一代防火墻，是面向應(yīng)用層設(shè)計，能精確識別用戶、應(yīng)用和內(nèi)容、具備完整的安全防護能力，是國內(nèi)唯一同時融合FW、IPS、WAF、AV功能并能智能聯(lián)動的L2-L7層一體化安全防護產(chǎn)品。

　　4.3基于應(yīng)用的深度入侵防御

　　深信服下一代防火墻的灰度威脅關(guān)聯(lián)分析引擎具備4800+條漏洞特征庫、2500+We應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層和內(nèi)容級別的單一安全威脅；圍繞“深層防御、精確阻斷”這個核心，通過對網(wǎng)絡(luò)中深層攻擊行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網(wǎng)絡(luò)的安全， 可以對網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進行主動阻斷。另外，深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時性。

　　4.4強化的WEB攻擊防護

　　深信服下一代防火墻能夠有效防護OWASP組織提出的10大web安全威脅的主要攻擊，并于2013年1月獲得了OWASP組織頒發(fā)的產(chǎn)品安全功能測試4星評級證書（最高評級為5星，深信服下一代防火墻為國內(nèi)同類產(chǎn)品評分最高），防SQL注入攻擊、XSS跨站腳本攻擊、CSRF攻擊、主動防御技術(shù)（自動建模，防0-DAY攻擊）、應(yīng)用信息隱藏、URL防護、弱口令防護、HTTP異常檢測、文件上傳過濾、用戶登陸權(quán)限防護，對Web登陸方式、非Web登陸方式(telnet、irc、ldap、mysql、pop3、RDP等)進行強化保護，提供登陸前短信動態(tài)口令認證功能，黑客即使成功獲取管理員賬戶口令，因無法獲取動態(tài)驗證口令，也無法完成對目標系統(tǒng)的訪問，從而杜絕賬戶盜用、非授權(quán)訪問等風險。

　　4.5完整的終端安全保護

　　病毒防護，深信服下一代防火墻提供基于終端的病毒防護功能，從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar等）中的病毒。

　　基于終端的漏洞防護，內(nèi)網(wǎng)終端仍然存在漏洞被利用的問題，多數(shù)傳統(tǒng)安全設(shè)備僅僅提供基于服務(wù)器的漏洞防護，對于終端漏洞的利用視而不見。深信服下一代防火墻同時提供基于終端的漏洞保護能防護如：后門程序預防、協(xié)議脆弱性保護、exploit保護、網(wǎng)絡(luò)共享服務(wù)保護、shellcode預防、間諜程序預防等基于終端的漏洞防護，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。

　　僵尸網(wǎng)絡(luò)檢測，僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。因此，不論是對網(wǎng)絡(luò)安全運行還是用戶數(shù)據(jù)安全的保護來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。深信服下一代防火墻提供業(yè)界最大的僵尸網(wǎng)絡(luò)特征庫，能夠通過檢測服務(wù)器和終端外發(fā)流量的異常的特征，來判斷外發(fā)的流量是否存在威脅，是否成為僵尸網(wǎng)絡(luò)的一部分，可以解決長期被動利用和新型病毒木馬導致的惡意流量外發(fā)的問題。

　　4.6獨特的雙向內(nèi)容檢測技術(shù)

　　網(wǎng)關(guān)型網(wǎng)頁防篡改，網(wǎng)頁防篡改是深信服下一代防火墻服務(wù)器防護中的一個子模塊，其設(shè)計目的在于提供的一種事后補償防護手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟損失等問題

　　深信服下一代防火墻提供可定義的敏感信息防泄漏功能，根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。

　　4.7智能的網(wǎng)絡(luò)安全防御體系

　　安全風險評估與策略聯(lián)動，深信服下一代防火墻基于時間周期的安全防護設(shè)計提供事前風險評估及策略聯(lián)動的功能。通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時發(fā)現(xiàn)端口、服務(wù)及漏洞風險，并通過模塊間的智能策略聯(lián)動及時更新對應(yīng)的安全風險的安全防護策略。幫助用戶快速診斷電子商務(wù)平臺中各個節(jié)點的安全漏洞問題，并做出有針對性的防護策略。

　　智能的防護模塊聯(lián)動，智能的主動防御技術(shù)可實現(xiàn)深信服下一代防火墻內(nèi)部各個模塊之間形成智能的策略聯(lián)動，如一個IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時也使得管理員維護變得更為簡單，可實現(xiàn)無網(wǎng)管的自動化安全管理。

　　4.8更高效的應(yīng)用層處理能力

　　為了實現(xiàn)強勁的應(yīng)用層處理能力，深信服下一代防火墻拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復計算工作的硬件設(shè)計，采用了更加適合應(yīng)用層靈活計算能力的多核并行處理技術(shù)；在系統(tǒng)架構(gòu)上，深信服下一代防火墻也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進行檢測匹配，從而提升了工作效率，實現(xiàn)了萬兆級的應(yīng)用安全防護能力

　　五、建議設(shè)備型號

　　根據(jù)中國畜牧獸醫(yī)信息網(wǎng)的數(shù)據(jù)統(tǒng)計，目前每天的訪問量大約為2000人左右，同時在線人數(shù)為20~30人，考慮到后期擴容，人數(shù)可能發(fā)展到70~80人。

　　依此選擇型號為：AF-1520