日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com獨家特稿】1. 網(wǎng)站現(xiàn)狀與存在的問題分析

創(chuàng)新互聯(lián)建站專注于企業(yè)成都營銷網(wǎng)站建設(shè)、網(wǎng)站重做改版、白銀區(qū)網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、html5、購物商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為白銀區(qū)等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

不了解現(xiàn)狀，不分析現(xiàn)狀，不找到問題，就無從談起方案整改，為此我們先分析下趙明的網(wǎng)站網(wǎng)絡(luò)安全現(xiàn)狀。

這個圖是視頻最后提供的一份網(wǎng)絡(luò)拓?fù)洌瑥倪@份拓?fù)渖?，我們可以了解如下信息?/p>

1) 趙明負(fù)責(zé)維護(hù)的網(wǎng)站，主要提供web服務(wù)，并且有2臺web應(yīng)用服務(wù)器同時提供服務(wù)；

2) web服務(wù)器后臺存在獨立的數(shù)據(jù)庫服務(wù)器

3) 互聯(lián)網(wǎng)接入，首先連接的是負(fù)載均衡器，并由該設(shè)備采用負(fù)載均衡方式將流量分配到主、被web應(yīng)用服務(wù)器，保證系統(tǒng)高效運行；

4) 整改網(wǎng)絡(luò)上沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備，沒有對重要服務(wù)器進(jìn)行獨立保護(hù)。

從上述信息，我們可以分析得到所存在的主要安全技術(shù)問題如下：：

1) 互聯(lián)網(wǎng)接入邊界，沒有防護(hù)設(shè)備，互聯(lián)網(wǎng)對應(yīng)用服務(wù)器的訪問不受任何訪問控制與檢測，容易遭受來自互聯(lián)網(wǎng)的各種攻擊，包括Dos/DDos、SQL注入等等；

2) 網(wǎng)絡(luò)內(nèi)部，沒有將主/備應(yīng)用服務(wù)器、數(shù)據(jù)庫等進(jìn)行獨立保護(hù)，他們之間的網(wǎng)絡(luò)互訪沒有任何限制；

3) 網(wǎng)絡(luò)內(nèi)部沒有網(wǎng)絡(luò)流量審計系統(tǒng)，對于來自互聯(lián)網(wǎng)的訪問，沒有進(jìn)行審計記錄，無法追查任何惡意訪問、攻擊事件。

此外，我們在播放的趙明視頻中，還可以很容易的發(fā)現(xiàn)所存在的管理問題：

1) 工作時間休息開小差——睡覺，即使有網(wǎng)絡(luò)監(jiān)控設(shè)備，也會因為沒有技術(shù)人員的適當(dāng)操作配合，而讓入侵繼續(xù)造成破壞；

2) 沒有應(yīng)急方案，發(fā)現(xiàn)入侵，只是憤慨，沒有相應(yīng)的應(yīng)對操作流程。

2. 整改目標(biāo)

針對上述存在的問題，我們可以很容易確定本次整改方案目標(biāo)：

1) 提升整改網(wǎng)絡(luò)、對外應(yīng)用服務(wù)器的抗攻擊能力；

2) 實現(xiàn)對攻擊事件、訪問事件的實時監(jiān)控能力；

3) 通過合理的網(wǎng)站備份，能及時恢復(fù)受攻擊的網(wǎng)站；

4) 制定安全管理、安全運維、應(yīng)急操作管理制度和流程。

3. 整改方案說明

3.1. 網(wǎng)絡(luò)拓?fù)?/strong>

3.2. 方案說明

安全區(qū)域劃分

如圖示，劃分為主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫服務(wù)器區(qū)、備用服務(wù)器區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，安全區(qū)域劃分后，可以很方便明確哪個區(qū)域容易遭受攻擊，哪個區(qū)域需要重點保護(hù)等等，并且可以進(jìn)一步在相應(yīng)的區(qū)域間部署相應(yīng)網(wǎng)絡(luò)安全設(shè)備。

互聯(lián)網(wǎng)防火墻部署

如圖①所示，在互聯(lián)網(wǎng)接入邊界，部署作為基本防護(hù)措施的防火墻設(shè)備，實現(xiàn)端口級別的控制，降低到下一個設(shè)備的違規(guī)流量。

Web防火墻部署

如圖②所示，部署web防火墻，實現(xiàn)對網(wǎng)站合法端口上的各種攻擊防護(hù)，如SQL注入攻擊、跨站攻擊等等，并記錄網(wǎng)站訪問行為。

內(nèi)網(wǎng)防火墻部署

如圖③所示，部署內(nèi)網(wǎng)區(qū)域隔離防火墻，對主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫服務(wù)器區(qū)、備用服務(wù)器區(qū)之間的網(wǎng)絡(luò)互訪進(jìn)行訪問控制，隔離其他不需要的流量。

入侵檢測系統(tǒng)部署

如圖④所示，部署入侵檢測系統(tǒng)，同時檢測內(nèi)網(wǎng)2個交換機(jī)的網(wǎng)絡(luò)流量，對內(nèi)部流量、互聯(lián)網(wǎng)流量進(jìn)行實時檢測，及時發(fā)現(xiàn)透過web防火墻的入侵流量，并進(jìn)行報警，必要時可以與互聯(lián)網(wǎng)接入防火墻實現(xiàn)安全聯(lián)動。

4. 方案效果說明

通過上述整改后的網(wǎng)絡(luò)安全方案，至少可以實現(xiàn)如下效果：

1) 在互聯(lián)網(wǎng)接入部分，同時部署有防火墻和web防火墻，可以各司其職的分別對網(wǎng)絡(luò)端口、應(yīng)用流量攻擊進(jìn)行檢測和自動阻斷，只要設(shè)備特別是web防火墻的特征碼實時更新，基本可以防護(hù)所有的來自互聯(lián)網(wǎng)的攻擊。另外上述設(shè)備具備的日志功能，可以基本滿足對攻擊日志、日常訪問日志的記錄和審計使用；

2) 在內(nèi)網(wǎng)，按照應(yīng)用系統(tǒng)的安全級別、使用方式等進(jìn)行安全區(qū)域劃分，并通過內(nèi)網(wǎng)防火墻實現(xiàn)區(qū)域間訪問控制，進(jìn)一步加強(qiáng)內(nèi)部網(wǎng)絡(luò)互訪控制措施；

3) 在內(nèi)網(wǎng)部署入侵檢測系統(tǒng)，是作為web防火墻的補(bǔ)充和二次檢測使用，建議此處使用與web防火墻不同品牌的入侵檢測系統(tǒng)，使用不同的攻擊代碼特征庫，實現(xiàn)互補(bǔ)措施，并且通過該設(shè)備，可以對網(wǎng)絡(luò)內(nèi)部、互聯(lián)網(wǎng)流量情況進(jìn)行報表分析，便于管理員實施了解網(wǎng)絡(luò)訪問狀況。

其他方面，“三份技術(shù)，七分管理”，是經(jīng)常提起的一句話，現(xiàn)狀也說明趙明的運維確實存在安全管理問題，所以建議趙明完善網(wǎng)絡(luò)安全運維制度、應(yīng)急響應(yīng)操作規(guī)范等制度規(guī)范，不要再工作時間睡覺，不要再發(fā)現(xiàn)入侵時無所事事。

【.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】