|
信達(dá)政府互聯(lián)網(wǎng)出口解決方案
資源天下 2019/8/16 10:05:36
(接上頁)器對所有的VPN用戶進(jìn)行整體的管理���。并根據(jù)用戶使用的硬件信息進(jìn)行VPN主機的安全準(zhǔn)入控制����。
同時����,銳捷網(wǎng)絡(luò)防火墻提供虛擬防火墻功能���,虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻���,每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備��,可擁有獨立的系統(tǒng)資源�、管理員、安全策略����、用戶認(rèn)證數(shù)據(jù)庫等��。
用戶可以根據(jù)不同的用戶組或者不同的接入部門�����,針對各個類型的遠(yuǎn)程接入用戶虛擬出若干虛擬防火墻�,進(jìn)行單獨的安全權(quán)限管理和應(yīng)用接入,做到應(yīng)用系統(tǒng)級別的隔離�。
3.2 應(yīng)用系統(tǒng)安全性
根據(jù)項目的實際情況,分析用戶當(dāng)前的應(yīng)用系統(tǒng)情況,提出合理性的訪問控制策略���,主要從對內(nèi)部用戶的訪問控制進(jìn)行分析和規(guī)劃。
3.3 WEB服務(wù)器安全性
針對專門為公眾提供服務(wù)的相關(guān)服務(wù)器���,銳捷網(wǎng)絡(luò)提供了專業(yè)的WEB應(yīng)用防護(hù)系統(tǒng)����,防止重要的WEB服務(wù)器被惡意用戶進(jìn)行攻擊�����,WEB應(yīng)用防護(hù)系統(tǒng)��,主要對DDOS防護(hù)�����、SQL注入���、XSS等常見的方式進(jìn)行保護(hù)�����。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵�,安全應(yīng)用防護(hù)系統(tǒng)產(chǎn)品部署在服務(wù)器的前面,串行接入���,不僅在硬件性能上要求高���,而且不能影響Web服務(wù),所以HA功能�����、Bypass功能都是必需的��。
WEB應(yīng)用防護(hù)系統(tǒng)主要從以下幾個方面對服務(wù)器進(jìn)行保護(hù):
(1)采用事前防御和事后恢復(fù)的雙層策略��。既能在事前防御防范于未然�,又能在事后進(jìn)行頁面恢復(fù)。
(2)基于DDSE(深度解碼掃描引擎)解析Web交互信息����,在進(jìn)行解碼的基礎(chǔ)上,對攻擊的形式邏輯進(jìn)行判斷過濾�����,實現(xiàn)HTTP深度識別。
(3)站點隱身使攻擊者無法獲取服務(wù)器信息���,避免攻擊前的滲透掃描����,避免Web服務(wù)器出錯信息暴露出系統(tǒng)架構(gòu)���,從而無法執(zhí)行下一步攻擊。
(4)虛擬補丁技術(shù)保護(hù)操作系統(tǒng)�����、數(shù)據(jù)庫�����、Apache、IIS等Web應(yīng)用服務(wù)平臺�,避免Web應(yīng)用服務(wù)平臺被攻擊導(dǎo)致系統(tǒng)隱患�����。
(5)危險文件下載檢測,阻斷下載數(shù)據(jù)庫等危險文件,避免攻擊者下載用戶密碼等敏感內(nèi)部信息�。
4. 系統(tǒng)可靠性設(shè)計
4.1 設(shè)備可靠性設(shè)計
整個出口的設(shè)計將打造高可用性作為一個重要的目標(biāo)。從架構(gòu)上看�,出口采用了雙設(shè)備���、多鏈路的互聯(lián)���。一方面可以實現(xiàn)分流����,即用戶區(qū)域的流量通過特定路徑�����,服務(wù)器區(qū)域的流量經(jīng)過另外獨立的路徑���;另一方面���,當(dāng)出現(xiàn)問題的時候�����,互為備份的設(shè)備或者冗余鏈路之間能夠?qū)崿F(xiàn)自動的切換�。對于網(wǎng)絡(luò)管理者而言�����,出口能夠在最短的時間內(nèi)進(jìn)行切換��,實現(xiàn)可用性�����,而不需要24小時進(jìn)行值班,出現(xiàn)問題也無需立刻進(jìn)行解決�。
出口設(shè)備提供豐富的HA功能�����,帶來最大化降低網(wǎng)絡(luò)的設(shè)備風(fēng)險,其工作模式包括Active-Standby和Active-Active�。在AS模式下,主機和備機之間可以同步規(guī)則、對象��、路由和Session等信息。當(dāng)主機出現(xiàn)問題后��,各種網(wǎng)絡(luò)服務(wù)都可以平滑的切換到備機上��,保證用戶不斷網(wǎng)。在AA模式下,兩臺設(shè)備可以同時工作���,信息也是即時同步的���,包括Session。同時采用一個優(yōu)化算法����,將流量平均的放在兩個設(shè)備上進(jìn)行處理��。當(dāng)一個設(shè)備出現(xiàn)問題后����,另一個設(shè)備就可以自動切換,提供網(wǎng)絡(luò)服務(wù)。而當(dāng)問題設(shè)備被修復(fù)后,工作的設(shè)備也會將Session等信息同步回問題設(shè)備�。同步完成后�����,雙機就可以正常工作。
4.2 鏈路可靠性設(shè)計
根據(jù)實際情況進(jìn)行描述
4.3 路由可靠性設(shè)計
根據(jù)實際情況進(jìn)行描述,或者在方案中路由環(huán)節(jié)進(jìn)行整體的敘述����。
|