绿盟网络入侵防护系统DMZ区防护解决方案

Web网站是企业在网络虚拟世界进行自我展示的窗口，也是企业网上业务系统的入口;Mail邮件服务器是企业与外界进行信息交换的重要方式。DMZ区作为企业对外提供服务的区域，面临来自互联网的各种主动攻击，需要进行重点防护。

威胁分析

因为DMZ区服务器运行着各种业务系统，威胁不仅包括针对网络、主机、系统等基础设施的攻击，而且还包含针对业务系统的特定攻击。

1. 黑客扫描和渗透攻击

Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行。

2. 病毒或蠕虫侵袭

Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

3. DDoS/DoS攻击

DDoS攻击出现在10年前，是一种技术含量不高，单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，特别是针对应用层的CC攻击，直接威胁业务系统的可用性。

4. Web相关攻击

随着系统、软件厂商对安全问题的重视，系统级安全漏洞正在减少，应用层攻击，特别是针对Web系统的攻击成为入侵者的主要攻击手段，例如：SQL注入、XSS跨站脚本、网站挂马等等。

风险分析

DMZ区可能遭受的攻击众多，我们主要从以下几个方面关注DMZ区可能面临的安全风险：

5. 机密信息泄露的风险

企业网上业务系统通常会包含客户资料、合同信息、产品信息等重要资料，一旦系统被入侵，这些敏感信息的泄露不仅会对企业的正常业务造成影响，而且有可能因为丢失客户信息而使企业承担必要责任。

6. 关键信息被篡改的风险

Web网站是企业对外发布信息的官方网络媒介，一旦发布的信息被恶意篡改将会影响企业的可信度。而业务系统中的重要数据被篡改，则会给企业带来经济上的损失。如果被别有用心之人发布了反动言论，企业将有可能面临法律问题。

7. 业务系统不可用的风险

系统被DDoS攻击后不可用将失去其存在的意义，会给对网上业务系统高度依赖、对业务系统及时性要求较高的企业带来不可估量的损失。

8. 损害企业声誉的风险

企业网站被篡改或者被植入木马，访问网站的用户成为受害者，而企业则会因此而损害自身的是声誉。

需求分析

根据对DMZ区的威胁、风险分析，其信息安全需求主要包括以下方面：

· 防御黑客扫描、渗透入侵、蠕虫、网络病毒等攻击，保障基础网络信息系统的安全性;

· 防御各种流量型、资源耗尽型、应用层DDoS攻击，提高网络信息系统的可用性;

· 防御针对Web、Mail等业务系统的攻击，保证业务系统的安全稳定运行。

解决方案

针对上述需求分析，在DMZ区部署新一代安全产品——绿盟网络入侵防护系统，能够有效防御2~7层的各种攻击，保证网络信息系统的安全稳定运行。

产品部署

图 一.1 DMZ区NIPS部署示意图

如图 2.2 所示，我们建议在DMZ区边界处部署1台绿盟网络入侵防护系统。

具体部署方式如下：

· 在DMZ区边界处在线部署1台NSFOCUS NIPS，网络引擎选择透明工作模式;

· 网络引擎进行入侵行为检测、分析和实时响应，自动阻断黑客攻击，切实有效的保护企业网络的安全，同时可以根据需求，设置NAT，策略路由以及访问控制等防火墙功能;

· 在企业内部网络部署1台PC机作为NSFOCUS NIPS的控制台， NSFOCUS NIPS支持B/S管理模式，可以灵活方便的管理部署在网络中的网络入侵防护系统。

功能与效益

部署绿盟网络入侵防护系统会给企业网络带来以下安全功能的提高，避免企业面临的信息泄露和篡改、系统可用性、企业声誉损失等问题：

· 实时发现和阻断蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止黑客带来的安全损失;

· 实时发现和阻断各种流量型、资源耗尽型和应用层DDoS攻击，提高业务系统的可用性;

· 实时发现和阻断针对Web系统的SQL注入、XSS跨站脚本等攻击，避免因此带来的网页篡改、网站挂马等问题;

· 实时发现和阻断垃圾邮件攻击，保障网络资源可用性的同时避免内网终端感染病毒或被种植木马程序;

· 提供虚拟补丁功能，有效防范0Day攻击。

日常使用建议

由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，绿盟科技建议如下：

9. 保障规则升级

a. 网络入侵防护系统控制台每周定时检查厂商规则升级模块

b. 离线下载或使用厂商提供的定期升级包

c. 控制台自动推送升级到网络引擎

10. 日志自动备份策略

设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况

定期分析与报告策略

设置综合报告每周发送策略，分别发给其他管理员

每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持