【拯救趙明】 拿什么拯救我的網站 活動鏈接：http://51ctoblog.blog.51cto.com/26414/300667 喜歡本文請抽空幫我投下票哈~謝謝各位！ 投票地址：http://netsecurity.51cto.com/secu/rescuezm/cassdisplay/xindex.php 一、方案目錄省略? 隨著互聯網技術的不斷發展，企業開始更多地使用互聯網來交付其關鍵業務應用，企業生產力的保證越來越多的依賴于企業IT架構的高可靠運行，尤其是企業數據中心關鍵業務應用的高可用性,所以企業越來越關注如何在最大節省IT成本的情況下維持關鍵應用7×24小時工作,保證業務的連續性和用戶的滿意度。
??? 而對于企業而言,其業務的完整快速的交付,其關鍵在于如何在用戶和應用之間建立快速的訪問通過,為用戶提供優質的服務;眾所周知, 隨著訪問用戶數量的增加，會給單位的服務器和鏈路帶來越來越大的壓力,如何有效的保證客戶訪問速度，實現訪問流量在各鏈路和服務器上均衡分配，充分利用各鏈路和服務器資源，是目前企業網絡改造的重要目標。 在鏈路方面,為解決單一鏈路所帶了的網絡單點故障以及脆弱性和國內所存在跨運營商的問題的,目前大部分的企業都部署了多條互聯網鏈路,來提升網絡鏈路的可靠性; 這樣通過每條互聯網鏈路為內網分配一個不同的IP地址網段來實現對鏈路質量的保證。這樣的解決方案雖然能夠解決一些接入鏈路的單點故障問題，但是這樣不僅沒有實現真正上的負載均衡，而且配置管理復雜。 1、路由協議不會知道每一個鏈路當前的流量負載和活動會話。此時的任何負載均衡都是很不精確的，最多只能叫做“鏈路共享”。 2、出站訪問，有的鏈路會比另外的鏈路容易達到。雖然路由協議知道一些就近性和可達性，但是他們不可能結合諸如路由器的HOP數和到目的網絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇。 3、入站流量，有的鏈路會比另外的鏈路更好地對外提供服務。沒一種路由機制能結合DNS，就近性，路由器負載等機制做出判斷哪一條鏈路可以對外部用戶來提供最優的服務。 所以說，傳統的多鏈路接入依靠復雜的設計，解決了一些接入鏈路存在單點故障的問題。但是，它遠遠沒有把多鏈路接入的巨大優勢發揮出來。 在服務器方面, 由于用戶訪問量的增大,使得單一的網絡服務設備已經不能滿足需要了，由此需要引入服務器的負載平衡，實現客戶端同時訪問多臺同時工作的服務器，實現動態分配每一個應用請求到后臺的服務器，并即時按需動態檢查各個服務器的狀態，根據預設的規則將請求分配給最有效率的服務器。實現數據流合理的分配，使每臺服務器的處理能力都能得到充分的發揮，擴展應用系統的整體處理能力，提高應用系統的整體性能，改善應用系統的可用性和可用性，降低IT投資。 服務器負載均衡技術在現有網絡結構之上能夠提供一種廉價、有效、透明的方法，來擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。它主要能夠帶來兩方面的價值： 1、建立有效的負載均衡機制。傳統的負載機制是建立在較簡單負載均衡機制和較簡單的健康檢查機制上的，不能根據服務器提供服務的具體情況向其轉發有效的訪問流量，通過構建新的負載均衡系統，可以采用多種負載均衡機制，根據服務器的負載能力智能確定該服務器所分擔的負載。主要能夠解決如下兩個方面的問題：首先，大量的并發訪問或數據流量將會被分擔到多臺設備上分別處理，進而減少用戶等待響應的時間；再者，單個重負載的運算分擔到多臺節點設備上做并行處理，每個節點設備處理結束后，將結果匯總，返回給用戶，系統處理能力得到大幅度提高。 2、建立有效的健康檢查機制。負載均衡系統應該可以對服務器的運行狀況做出準確判斷，確保提供的服務的正確。全面的健康檢查機制不僅可以有效的監控到服務進程的有效性，即可以對應用端口提供服務的能力進行健康檢查，而且對于其后應用邏輯造成的同樣可以提供有效的檢查機制，從而避免了客戶端可以訪問到服務器，但得不到正確的響應情況出現。 二、 需求分析
??? 1、服務器的穩定訪問。
??? 2、利用安全防護設備預防***的發生。
??? 3、在被***的過程中，能及時告誡管理員，并記錄和阻斷駭客行為、特征。
??? 4、方案中以被***前防御和被***時阻斷、記錄***行為的設備為主。 2.1多鏈路負載均衡
??? 為了提升趙明公司的網站及應用系統的穩定性和可靠性，趙明公司已經部署多條互聯網鏈路以保證網絡服務的質量，消除單點故障，減少停機時間。目前需要在如下兩種情況下實現多條鏈路的負載均衡： 1、內部的應用系統和網絡工作站在訪問互聯網絡的服務和網站時如何能夠在多條不同的鏈路中動態分配和負載均衡，這也被稱為出站流量的負載均衡。 2、互聯網絡的外部用戶如何在外部訪問內部的網站和應用系統時也能夠動態的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統，這也被稱作為入站流量的負載均衡。 正對上述問題，我們推薦使用臺灣眾至Sharetech的解決方案，可以智能的解決上述問題。 2.2服務器負載均衡
??? 隨著訪問用戶數量的增加，給趙明公司的服務器帶來越來越大的壓力，如有有效的保證客戶訪問速度，實現訪問流量在各服務器上均衡分配，充分利用各服務器資源，是目前趙明公司網絡改造的重要目標。 趙明公司系統中有多臺服務器，如果采用服務器群，會造成訪問地址的復雜化和負載不平衡。對于每臺服務器都必須有相應的唯一的IP地址，給用戶的訪問和網絡管理帶來不便；這些服務器之間的流量分配是隨機的，不會考慮服務器當前的負載情況，在某些情形之下反而造成連接失敗。 為了解決上述存在的問題，趙明公司希望通過服務器負載均衡機制，保證用戶訪問流量能在各服務器上均衡分配，提高服務器資源的利用率。并且當某臺服務器發生故障時能被及時檢測到，并且故障服務器將會被自動隔離，直到其恢復正常后自動加入服務器群，實現透明的容錯，保證服務器整體性能得到大幅提升。 2.3服務器的安全防護
??? 隨著網絡***行為的愈演愈烈，不時傳出有知名網站被******的新聞，使得企業聞黑色變，想方設法的提升自身網絡防駭***的能力，然而并不是所有的企業都有這樣的實力。 ***通過高明的計算機技術，侵入別人的網絡系統，大肆破壞受害者計算機系統內的文件，或者竊取各種機密信息以達到不可告人的目的。為了能及時的找出這些隱藏著的破壞者并且能阻止其破壞活動所以需要借助安全設備來保護服務器不受***，穩定運行。 2.4 WEB服務器防篡改
??? 近幾年我國信息化發展迅猛，各行各業根據自身需要大都進行了網站建設，用于信息發布、網上電子商務、網上辦公、信息查詢等等，網站在實際應用中發揮著重要作用。尤其是我國電子政務、電子商務的大力開展，網站建設得到了空前發展。然而不幸的是，***強烈的表現欲望，國內外非法組織的不法企圖，商業競爭對手的惡意***，不滿情緒離職員工的發泄等等都將導致網頁被“變臉”。網頁篡改***事件具有以下特點：篡改網站頁面傳播速度快、閱讀人群多;復制容易，事后消除影響難，預先檢查和實時防范較難，網絡環境復雜難以追查責任。此外，***工具簡單且向智能化趨勢發展，據不完全統計，我國98%以上的站點都受到過不同程度的******，***形式繁多，網站的安全防范日益成為大家關注的焦點，尤其是政府、金融類網站最易成為***目標。 2.5 內網安全管理
??? 目前的安全措施主要是針對外部網絡的訪問控制問題，對于內部網絡的安全，僅僅局限在簡單的權限控制和防病毒軟件方面。然而，根據權威組織的調查報告顯示，傳統的***、***、病毒等外部威脅僅占20%，而內部泄密、***、違章、管理不善等內部威脅竟高達80%，真正的威脅來自網絡內部。但是目前正在用90%以上的投入解決20%的外部安全威脅問題，而面對高達80%的內部安全威脅，投資幾乎微乎其微。同時，如何有效地對內部網絡系統進行管理，也是提高辦公效率的關鍵。 三、解決方案
?? 3.1網絡拓撲
??? 根據趙明公司網絡架構和需求情況，我們推薦使用臺灣眾至Sharetech負載均衡安全網關、北京智恒WebGuard網頁防篡改系統、長沙銳安信息Niordsec的內網安全平臺的綜合產品解決方案。本方案設計采用的SharetechAW設備包括服務器負載和多鏈路負載均衡二合一功能，實現網絡中多鏈路和服務器的智能負載；WebGuard的網頁防篡改系統保護WEB服務器；Niordsec內網產品實現整體內網網絡的安全管理；具體部署情況示意圖如下： 3.2方案描述 3.2.1方案設計總體描述
??? 本方案設計采用臺灣眾至Sharetch AW設備來實現網絡中實現多條鏈路的負載均衡和服務器的負載均衡及服務器安全***防護；WebGuard網頁防篡改系統保護web服務器；Niordsec內網安全產品實現整個內網終端的系統安全。 3.2.2多鏈路負載均衡具體實現方式如下：
??? 1、內部用戶需要訪問外部服務器，將訪問請求發送至Sharetech AW負載平衡網關,Sharetech AW負載平衡網關根據數據包的目的地址判斷傳輸線路。訪問電信的數據從電信線路傳輸，訪問網通的數據從網通線路傳輸； 2、AboCom負載平衡網關將數據發送至目的主機； 3、目的主機收到數據并作出回應，將數據發送給用戶。 ??? 技術及優勢 1、自動(Auto mode)：自動選擇最佳模式(依實際頻寬比例)； 2、循環分配(Round Robin)：W1eW2 eW3 eW1eW2eW3 … 3、聯機(Session)分配：自訂W1:W2:W3…之Session比例； 4、流量分配(Traffic)：依照Byte數； 5、封包(Packet)分配：依照Packet數； 6、埠(Port)：依照來源或目的地網際服務指定埠做指定傳輸的動作(by AP)； 7、地址(IP)：依照來源或目的地IP地址做指定傳輸的動作(by User)； 8、合并帶寬 & 節約用費； 9、主動實時線路備援(Auto Backup)機制。 服務器負載均衡具體實現方式如下： 1、客戶發出服務請求到Sharetech AW設備 2、Sharetech AW接收到請求，通過預先設定好的負載均衡算法，將數據包中目的IP地址改為選中的后臺服務器IP地址，然后將數據包發出到后臺選定的服務器 3、后臺服務器收到后，將應答包按照其路由發回到Sharetech AW 4、Sharetech AW設備收到應答包后將其中的源地址改回成VIP的地址，發回客戶端，由此就完成了一個標準的服務器負載平衡的流程。 對于所有應用服務器，可以在Sharetech AW上配置Virtual Server實現負載均衡。 3.2.3服務器安全防護具體功能如下
??? IDP(***偵測防御)可有效防護威脅***并提供『特征數據庫』(Signature Databas)2,900個以上預設***模式，并可主動在線更新。
??? 預設的『特征數據庫』可允許用戶自行修改它的Action與級數。
??? 具備兩種Action的模式：Pass 及 Drop 。
??? 可另外自行定義『特征數據庫』，藉以防范新類型***。
??? 提供威脅***記錄及報表查詢功能，以方便分析。
??? 報表查詢可查看以下記錄：Source IP or Destination IP相關記錄、特征分類相關記錄、相關事件內容記錄。 病毒過濾 (Anti-Virus) 可同時使用內建Clam 及選購 Sophos兩種病毒過濾引擎，可準確地找出夾藏在郵件中的病毒或隱藏于HTTP(Web)及FTP服務內的病毒，且能永久免費的自動更新病毒碼(Clam)。這可讓SV3550的病毒防護功能，能以最少的成本，永遠保持在最新的狀態。并且可以對HTTP(Web及FTP的存取做病毒掃描，讓網絡達到最嚴密的防護。 監控稽核及統計記錄針對每筆進出網絡的封包做不同的記錄處理，如系統效能評估，被非法***時的證明和追查依據，提供圖表方式記錄過去（日/時/分）時間所有封包的統計流量，并以實時圖形化流量分析統計（MRTG），方便分析與追蹤網絡使用情況。 3.2.4 WEB服務器防篡改實現方式如下
??? 我們將篡改監測的核心程序通過內核文件底層驅動內嵌到操作系統中，通過事件觸發方式進行自動監測，對文件夾的所有文件內容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各類文件類型）對照其多個屬性，經過內置散列快速算法，實時進行監測，若發現變更，實時阻斷篡改行為。通過非協議方式，純內核安全出站校驗方式檢查出站內容的完整性可靠性，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到最高水準。 3.2.5內網安全管理實現方式如下
??? NiordSec內網安全平臺是一個完善的內網安全防御體系，與常規的網絡監控或行為控制軟件不同，它綜合考慮了內網數據安全和內網有序管理兩個方面，結合操作系統內核數據加密、網絡智能控制和行為分析等先進技術，對組織的內部網絡進行綜合、高強度的保護。 在系統架構上，NiordSec內網安全平臺由一個基礎平臺和六個子系統組成，如下圖所示，其中基礎平臺對整個內網安全系統提供基礎設施支撐，如預警、日志、管理員管理、報表系統等；另外六個子系統分別從網絡認證授權、桌面管理、網絡監控、移動存儲介質管理、網絡分域管理以及文檔安全管理六個方面，對內網安全各個層面的需求進行滿足。 3.2.6易于管理性
??? Sharetech AW產品提供https的安全Web中英文的界面管理； Sharetech AW產品還能夠全面統計會話數的運行狀況如會話連接數、用戶數、應用分布情況、IP來源等相關情況，方便管理員對網絡進行優化 四、產品功能介紹
??? 4.1.1 Sharetech AW5350G 負載均衡安全網關介紹

硬盤	250G
網絡端口WAN/LAN/DMZ	5/1/1
網絡端口速度	10/100/1000
Console Port
外觀	1U機架式
電源供應	100-250VAC
最大處理速度	1640Mbps
***認證+3DES加密	190Mbps
SSL ***認證+3DES加密	160Mbps
最大聯機數	1000000
每天郵件最大處理封數（每封1098bytes）	6400000
HTTP防病毒速度	550Mbps（雙向）
FTP防病毒速度	510Mbps（雙向）
郵件服務器	最大數量	400
支援LDAP Server	○
垃圾郵件	內送郵件掃描	○
內氏過濾法	○
檢查寄件者IP地址是否在URL	○
核對指紋辨識數據庫	○
垃圾郵件外置	刪除/傳送/轉寄
最大垃圾過濾規則	200
個人化規則	○
最大白名單數量	512
最大黑名單數據	512
郵件病毒	病毒引擎	Clam AV/Sophos
內送郵件掃描	○
病毒郵件處置	刪除/傳送/轉寄
FTP病毒過濾
HTTP病毒過濾
EB操作	簡體/繁體/英文	○
HTTPS	○
最大次管理員數量	400
Multiple Subnet(NAT)	Routing/NAT(Max entry=512)
靜態路由表數量	400
DDNS最大數量	512
頻寬管理	最大條例數	4000
最大管理頻寬	100
Quota	○
Accouting Report	○
認證	內建最大認證使用者數量	4000（Policy/***）
內建最大認證使用群組數量	800（Policy/***）
RADIUS	○
POP3/LDAP認證	○
負載平衡	對內負載平衡功能/網域數量	256
對外負載平衡功能	○
最大排程表數量	800
IP對映	512
虛擬服務器	4
MAC Address過濾
內容過濾	最大URL阻擋數量	8000
P2P Blocking	eDondey，BT，WinMX…
IM Blocking	MSN/Yahoo/ICQ/QQ/Skyp…
***預警	SPI，SYN，ICMP，DoS，UDP，Ping of Death，Port Scan
Blaster Blocking
允許建立的最大通道數	IPSec	8000/2000
PPTP Server	4000/400
PPTP Client	512/400
IDP功能
SSL ***
*** Trunk
High Availability

??? 4.1.2 WebGuard網頁防篡改系統介紹
??? 1) 第三代內核驅動防篡改技術
??? ? 基于內核驅動級文件保護技術，支持各類網頁格式，包含各類動態頁面腳本； ? 內核級事件觸發技術，大大減少系統額外開支； ? 完全防護技術，支持大規模連續篡改***防護； ? 系統后臺自動運行，支持斷線狀態下阻止篡改； ? 內核出棧校驗技術完全杜絕被篡改內容被外界瀏覽； ? 支持單獨文件、文件夾及多級文件夾目錄內容篡改保護； 2) Web站點安全運行保障
??? ? 保護Web服務器的相關重要配置文件不被篡改； ? 服務器性能監控閥值報警，預知***發生； ? 服務器系統服務運行狀態監控，可提供服務異常響應，終止、重啟等聯動操作； ? 服務器進程黑白名單許可控制，防止掛馬***或后門程序運行； ? 支持服務器多種遠程管理功能，緊急情況下便于管理，如遠程接管、遠程喚醒、遠程關機、遠程用戶注銷等； ? 支持監測服務器當前系統防火墻，防病毒的使用情況和版本，提高監測服務器的綜合防護能力； 3) 部署結構靈活
??? ? 支持多站點、跨平臺分布式部署，統一集中管理功能； ? 支持大規模虛擬機、雙機熱備網站系統部署架構； ? 支持服務器冗余及負載均衡分布部署，支持web服務端、發布端一對多，多對多等各類靈活網站架構； 4) 安全可靠增量發布
??? ? 支持網頁文件自動上傳功能和增量發布，無需人工干涉； ? 支持異地文件快速同步功能和斷點續傳功能，極大的增加網站可維護性； ? 支持網頁自動同步新增、修改、刪除、下載等功能； 5) 日志事件報警
??? ? 自動檢測文件***記錄，并實時記入日志，支持導出excel報表； ? 支持服務運行狀態記錄，并實時記入日志，支持導出excel報表； ? 支持多種告警方式，日志告警、郵件告警或定制其他告警方式； ? 自身操作審計日志記錄，詳細記錄操作管理員的操作管理行為； 6) 操作管理安全、方便
??? ? 支持多用戶分權管理功能，方便操作； ? 系統C/S結構，確保高可靠性； ? 支持多個策略管理，策略設置支持即時生效，無需重啟； ? 數據傳輸采用加密傳輸，安全可靠； ? 支持網頁格式類型分類，便于分類管理； ? 系統全中文界面，操作、配置方便，網絡管理人員僅需十分鐘即可熟練完成系統初始配置，大大提高工作效率； 7) 網站動態自適應***防護
??? ? 支持SQL注入***防護； ? 支持跨站腳本***防護； ? 支持對系統文件的訪問防護； ? 支持特殊字符構成的URL利用防護； ? 支持對危險系統路徑的訪問防護； ? 支持構造危險的Cookie***防護； ? 各類***的變種防護； ? 支持自定義檢測庫； ? 規則庫支持在線升級功能； 4.1.3 Niordsec內網安全平臺系統介紹
??? 我們把內部網絡在邏輯上劃分為3個主要構成部分，核心服務器區域、可信終端區域以及外部風險區域，如下圖所示。NiordSec內網安全平臺的架構和最后的應用部署都是基于這樣的劃分。 內網邏輯示意圖 核心服務器區域 保存了企業的核心信息，是需要重點管理和保障的區域，例如業務數據庫、文件服務器等。 可信終端區域 企業內部合法可信的終端，包含了企業的生產系統、行政系統和其他系統，是需要管理和控制的區域。 外部風險區域 對內網管理存在安全風險的區域，例如外來主機、外部網絡等。 我們認為只有對三個區域進行全面的管理，才能保障內網的安全！ 1 、系統功能
??? 按照上圖的劃分，NiordSec內網安全平臺在這幾個區域上分別構架了一個功能模塊，來實現對內網信息的安全防護。在可信終端區域包括，雙因子身份認證，行為日志審計、外部設備控制、文件安全保護、網絡管理控制以及員工行為監控等等，我們認為這些模塊的作用，足以證明安裝了NiordSec客戶端的機器上，所有的行為是可以控制和審計的，是可信的；在核心服務器區域，包括服務資源操作審計、數據庫操作審計以及身份認證模塊，這些功能模塊的疊加能夠使所有用戶對服務資源的訪問都接受控制和審計；對于外部風險區域，非法主機接入控制模塊能夠阻斷所有非法或不合法用戶的進入，保證內部網絡的純潔性。 系統結構圖 按照上面的體系結構，下面我們對每個功能模塊進行詳細描述。 2、用戶（計算機）管理
??? NiordSec內網安全平臺對終端提供兩種管理模式：基于終端計算機和基于終端用戶的管理，這兩種管理模式在部署時進行選擇。 （1）基于終端計算機的管理。這種管理模式沒有改變Windows操作系統登錄流程，終端安裝NiordSec內網安全平臺后，會產生一個唯一標識該終端的標識碼，且該標識碼在整個使用周期內不能被修改。NiordSec內網安全平臺提供的所有監視、控制和管理功能都是基于這個標識碼進行。 （2）基于終端用戶的管理。這種管理模式替代了Windows操作系統的登錄流程，終端用戶在進入Windows操作系統之前，都必須輸入安全管理中心統一分配的平臺用戶名和密碼到NiordSec服務器進行認證，如果認證成功，則允許進入操作系統，否則，則拒絕進入操作系統。為了避免網絡和NiordSec服務器的故障所帶來的登錄風險，NiordSec內網安全平臺提供了還提供了緩存登錄以及本地登錄等多種輔助措施。在這種基于終端用戶的管理模式下，NiordSec內網安全平臺提供的所有監視、控制和管理功能是基于用戶身份進行的。 兩種管理模式的比較： （1）基于終端計算機的管理模式僅依賴終端標識碼進行管理，創建、注冊、捆綁終端標識碼的整個過程都是自動完成，對用戶而言整個過程完全透明，無需建立另外的用戶信息，所以管理起來相當簡單。但是這種模式不會對終端計算上登錄的多個用戶區別對待，適用于“一機一人”的情況。 （2）基于終端用戶的管理模式改變了Windows操作系統登錄的流程，增強了登錄操作系統的安全性。對于登錄終端的不同用戶，可以對其實行不同的策略進行監控和管理，適用于“一機多人”的情況。但是這種管理模式增加了安全管理中心的工作量，在使用之前必須為所有用戶分配對應的NiordSec平臺登錄用戶名。 3、遠程監控和桌面管理
??? 遠程監控和桌面管理功能提供實時監視和控制終端計算機的運行狀況，包括：當前屏幕監視、當前運行進程監控、CPU使用情況監視、內存使用情況監視、硬盤使用情況監視、桌面鎖定和解鎖、終端計算機注銷重啟關機、終端共享文件管理以及帳號管理等功能。 （1）屏幕監控。實時監視終端用戶的計算機屏幕狀態，并提供了遠程控制開關選項，支持從NiordSec控制臺對終端用戶進行遠程協助。提供抓屏功能，為終端用戶的操作行為保留現場。 （2）運行進程監視。實時監視終端用戶當前運行的進程的詳細信息，并且允許安全管理員可以從進程列表中選擇特定進程進行遠程終止。 （3）CPU狀態監視。實時監視終端用戶的CPU使用狀態，包括具體CPU占用值和占用比例。 （4）內存狀態監視。實時監視終端用戶的內存使用狀態，包括具體內存占用值和占用比例。 （5）硬盤狀態監視。實時監視終端用戶的硬盤使用狀態，包括不同磁盤驅動器的使用大小及其所占比例。 （6）桌面鎖定和解鎖。從NiordSec控制臺可以對終端桌面進行鎖定，在鎖定狀態下，終端計算機不能進行任何操作，安全管理員發送解鎖指令后，終端才能恢復正常工作。 （7）終端計算機注銷重啟關機。從NiordSec控制臺可以對終端計算機發送注銷、重啟和關機指令。 （8）終端共享文件管理。能夠枚舉共享文檔屬性、類型和當前連接情況，能夠刪除共享文件夾，對文檔共享情況進行控制，解決了終端用戶隨意共享文件或忘記取消文件共享所帶來的文件泄密隱患。 （9）終端帳號管理。能夠枚舉目標主機中所有的帳號和分組情況；能夠新增用戶、刪除用戶；能夠鎖定某個帳號，并對帳號進行解鎖；能夠修改帳號的密碼，能夠對帳號的權限進行管理（例如可以將管理員帳號的權限降低為普通用戶權限）。 4、外部設備管理
通過終端用戶外設管理功能，系統能夠充分保護網絡中終端主機的安全性，保證數據不被惡意的盜竊，防止外接設備隨意連接到計算機，保證秘密信息不被竊取。外部設備管理主要從端口控制、存儲設備、打印設備和設備屬性等四個層次進行保護，如表1：

設備管理層次	防護對象
端口控制	串口并口、1394、紅外、藍牙、PCMCIA、SCSI控制器、調制解調器。
存儲設備	USB存儲介質（U盤、活動硬盤等）、光驅、軟驅、磁帶。
打印設備	本地、遠程、虛擬打印機。
設備屬性	設備管理屬性、網絡適配器屬性。

（1）端口控制。提供對串口并口、1394、紅外、藍牙、PCMCIA、SCSI控制器、調制解調器等端口的控制。控制策略分為兩種：允許使用和禁止使用。在允許使用的策略下，以上端口都能夠正常被使用；在禁止使用的策略下，上述端口將被禁用。 （2）存儲設備。提供對USB存儲設備、光驅、軟驅以及磁帶機的控制。 l USB存儲設備 對所用的USB接口的存儲設備進行控制，包括U盤、活動硬盤等，不包括USB鼠標、USB鍵盤等非存儲設備。根據移USB存儲設備使用策略，可以允許或者禁止移動存儲介質的使用。 l 光驅設備 根據光驅使用策略，可以允許或者禁止使用光驅設備。 l 軟驅設備 根據軟驅設備使用策略，可以允許或者禁止使用軟驅設備。 l 磁帶機設備 根據磁帶機設備使用策略，可以允許或者禁止使用磁帶機設備。 除了對USB存儲設備提供控制功能外，還對拷貝至存儲設備的文件進行詳細的日志記錄，如記錄“誰在什么時候拷貝了什么文件”。 （3）打印設備。本系統控制的打印機設備包括本地打印機、網絡打印機和虛擬打印機。控制策略包括禁止使用打印操作和允許使用打印操作。在允許打印操作的情況下，對打印文件進行日志記錄。 （4）設備屬性控制。對網絡適配器屬性和設備管理器進行控制。 l 網絡適配器屬性 通過網絡適配器屬性設置，終端用戶可以任意修改網絡配置。本系統提供了控制修改網絡適配器屬性的選項，在禁止修改的策略下，終端用戶無權打開網絡適配器屬性頁面。 l 設備管理器 通過Windows設備管理器，終端用戶可以設置終端設備屬性。本系統提供了控制操作設備管理器的策略，在禁止使用的策略下，終端用戶無權打開設備管理器屬性頁面。 5、網絡操作控制
??? 網絡操作是終端用戶最頻繁的操作之一，與工作無關的網絡操作行為不僅僅影響了工作效率，同時也是信息泄密的一種途徑。本系統從IP控制、端口控制、URL控制、郵件控制等幾個方面來進行管理。 （1）IP控制。從IP地址這一級對網絡連接進行控制，通過設置IP地址黑名單和白名單兩種方式來進行管理。如果選取IP黑名單控制方式，則凡是訪問目的IP地址在黑名單之內的將被禁止連接；如果選擇IP白名單控制方式，則只允許訪問IP白名單內的目標IP地址，除此之外的網絡請求將被拒絕。 （2）端口控制。從遠程連接端口進行控制，通過設置端口白名單和黑名單兩種方式來進行管理。如果采取端口白名單控制策略，則白名單之內的端口予以開放，白名單之外的端口予以禁止；如果采取端口黑名單控制策略，則黑名單之內的連接將被拒絕，黑名單之外的連接予以開放。 （3）URL控制。對訪問的目標URL地址進行控制，通過設置URL白名單和URL黑名單兩種方式進行管理。如果采取URL白名單控制策略，則白名單之內的URL地址可以進行訪問；如果采取URL黑名單策略，則黑名單之內的網絡連接將被禁止，黑名單之外的URL予以開放。如安全管理員添加 “sina.com” 至URL黑名中，則目的網址中包含“sina.com”的網站將不能被訪問。 （4）郵件控制。本系統提供對郵件發送軟件和web郵件兩種發送方式的控制。 郵件發送軟件 郵件發送軟件是通過標準的郵件協議進行郵件的發送和接收，如Foxmail、Outlook等軟件。本系統提供允許發送、禁止發送和禁止發送帶附件的郵件三種控制方式。 web郵件 web郵件是通過http協議進行郵件的發送和接收。本系統提供允許進入web郵箱和禁止進入web郵箱兩種控制方式。在禁止進入web郵箱的控制策略下，用戶無法打開web郵箱。 （5）網絡進程控制。提供對網絡操作進行的控制，通過設置網絡進程白名單和網絡進程黑名單兩種策略來進行管理。在網絡進程白名單的策略下，只有白名單內網絡進程才允許訪問網絡，其余進程的網絡操作將被禁止；在網絡進程黑名單的控制策略下，黑名單之內的進程將被禁止訪問網絡。 （6）網絡操作分時段控制。為了控制方式更加靈活，本系統提供了分時段控制機制。如定義上述的控制策略只在上班時間（安全管理員可以自定義上班時間斷，如8:00-12:00, 14:00-18:00，）生效，其余時間段網絡控制策略失效。 （7）日志記錄。本系統對網絡操作行為的日志進行了詳細記錄，主要包括了HTTP協議日志、FTP協議日志、郵件協議日志和其他日志。安全管理員可以對日志選項進行靈活設置，如是否記錄以及日志等級等。 HTTP協議日志 HTTP協議日志主要包括訪問者、訪問時間、訪問的URL地址等信息。 FTP協議日志 FTP協議日志主要包括訪問者、文件傳輸時間、傳輸的文件名等信息。 郵件日志 郵件日志主要包括用戶信息、發件人信息和收件人信息、郵件主題信息以及郵件附件信息等信息。 6、進程行為控制
??? “NiordSec內網安全平臺”通過設置進程的簽名白名單、簽名黑名單、名稱白名單以及名稱黑名單幾種方式來對進程行為進行控制。 （1）進程簽名白名單控制。用戶只能運行管理員進行簽名認可的程序，其它程序全部禁止使用。這是最嚴格地用戶進程控制方式，也是最安全的進程控制方式，即使用戶更改了應用程序名也無法運行。在簽名白名單控制的策略，進程被分為兩種類型：微軟類程序和非微軟類程序。微軟類程序是指微軟公司發行的程序，考慮不同windows版本的差異，采用公司簽名驗證代替程序本身的簽名驗證。 （2）進程簽名黑名單控制。用戶不能運行黑名單中出現的程序，其它程序可以運行。同樣，在簽名黑名單控制的策略，進程被分為兩種類型：微軟類程序和非微軟類程序。 （3）進程名稱白名單控制。通過程序的名稱進行認證，在名稱白名單列表中的程序予以運行，其余將被禁止運行。 （4）進程名稱黑名單控制。通過程序的名稱進行認證，在名稱黑名單列表中的程序將被禁止運行，其余的程序予以運行。 （5）進程分時段控制。為了控制方式更加靈活，本系統提供了對進程的分時段控制機制。如定義上述的控制策略只在上班時間（安全管理員可以自定義上班時間斷，如8:00-12:00, 14:00-18:00，）生效，其余時間段的進程行為控制策略失效。 （6）日志記錄。對終端用戶運行的程序進行日志記錄，包括操作者、運行時間、運行的進程名稱等信息。 7、文件安全管理
??? 文件安全管理功能提供共享文件訪問控制、文件訪問日志記錄、移動存儲設備透明加解密、文件保險柜以及文件安全鎖等功能。 （1）共享文件訪問控制。提供了兩種方式的共享文件訪問控制策略：控制其他主機訪問終端主機的共享文件和控制終端主機訪問其他主機的共享文件。在禁止訪問其他主機共享文件的策略下，終端主機將不能訪問任何主機的共享文件；在禁止其他主機訪問終端主機的策略下，任何主機都不能訪問該終端主機的共享文件。 （2）文件訪問日志記錄。對訪問本地文件和訪問其他主機共享文件的操作進行日志記錄。記錄的操作日志包括文件的新建、打開、刪除、重命名以及修改等操作。 （3）移動存儲設備透明加解密。對移動存儲設備的數據流動進行透明的加密和解密。在設置加解密的策略下，終端用戶從本機拷貝文件至移動存儲設備時數據將被透明加密，該密文數據只能在內網中的主機上才能打開。脫離內網環境，移動存儲設備上的數據將不能解開。 （4）文件保險柜。用戶通過文件保險柜設置向導設置屬于自己的安全目錄，一個用戶可以擁有多個安全目錄。文件保險柜具有以下特點： 透明加密 當文件拷貝至安全目錄或者在安全目錄中新建文件，所有操作的文件都是透明加密存儲在硬盤上，使用時透明解密，對用戶的操作沒有任何影響。 訪問控制 安全目錄提供訪問控制功能，特定的用戶只能進入屬于自己的安全目錄，任何訪問其他用戶安全目錄的操作（包括打開、刪除、重命名等）將被拒絕。 操作日志記錄 根據日志記錄策略，可以對安全目錄內的文件讀、寫操作進行日志記錄。日志內容包括執行操作的用戶信息、操作的文件信息、操作的進程信息等。日志上傳至日志服務器，管理員可以進行審計分析。 臨時文件安全 有些程序(如MS office系列程序)在運行時會產生臨時文件，這些臨時文件在某些突發（比如掉電）情況下會造成泄密。文件保險柜可以使臨時文件直接產生在安全目錄中，使得所產生的臨時文件不但以密文形式存在而且受到訪問控制的保護。通過這種方式能夠有效地保證臨時文件的安全性，防止通過臨時文件泄密。 （5）文件安全鎖。在一臺主機多個用戶的情況下，用戶可以根據需要將含有秘密信息的文件夾上鎖，從而使得只有該用戶才能打開該文件夾，而非法用戶不能打開，保證秘密信息不外泄。文件保險柜和安全目錄鎖的區別在于前者文件是加密存儲，而后者是明文存儲。 8、軟件、硬件資產管理
??? 終端資產管理功能包括硬件資產管理和軟件資產管理兩部分，并且提供強大的統計功能。 （1）硬件資產管理。 安裝硬件信息 本系統在用戶登入后，記錄下終端的所有硬件安裝信息，記錄的硬件類型包括：鍵盤、鼠標、主板、操作系統、CPU、內存、硬盤、網卡、聲卡等。 變動硬件信息 檢測終端發生變動的硬件信息，并且提供對照信息，變動的硬件信息以不同的顏色進行標記，方便管理員進行瀏覽對比。 （2）軟件資產管理 安裝軟件信息 本系統在用戶登入后，記錄下終端的所有軟件安裝信息并且進行日志記錄。 變動軟件信息 檢測終端發生變動的軟件信息，并且記錄日志。 （3）資產統計 提供豐富的統計工具，管理員能夠方便地了解內網中的所有資產情況。 9、應用服務器保護
??? 服務器保護功能基于應用代理技術，實現了對內部業務服務器群細粒度的統一身份認證，各類業務應用服務器、數據庫服務器都在保護的范圍之內。服務器保護功能包括受保護服務器群統一身份認證和操作日志記錄兩大子功能。 （1）統一身份認證。根據用戶安全策略，終端用戶向受保護服務器群發起的網絡連接被轉發到認證服務器。對返回的認證結果進行如下處理： 如果認證成功，則建立終端用戶與受保護服務器群之間的連接。 如果認證失敗，則拒絕終端用戶的訪問請求。 （2）操作日志記錄。終端用戶到受保護服務器群的所有請求操作和數據都被截獲，進行分析，形成日志傳輸到日志數據庫。目前進行分析的協議包括： HTTP協議——記錄訪問的目標網頁。 FTP協議——記錄上傳和下載的文件信息。 SMTP協議——記錄發送的郵件信息。 數據庫通信協議——支持各種數據庫連接協議，并且可以對數據庫訪問 的下列操作進行日志記錄： 數據庫查詢操作 數據庫插入記錄操作 數據庫更新記錄操作 數據庫刪除記錄操作 數據庫創建表操作 數據庫刪除表操作 10、非法接入控制
??? 本系統中對“非法主機”的定義是指沒有安裝NiordSec內網安全平臺的主機，主要目的是防止將外部主機接入到內網中從而帶來安全隱患。對于這種外部接入行為，本系統提供了兩種控制措施：接入預警和禁止接入。 （1）接入預警。對接入的非法主機進行預警，安全管理員可以根據預警信息找到外部接入的主機，并且采取相應的安全措施。 （2）禁止接入。對接入的非法主機采取隔離措施，使其網絡設備不能正常工作，從而無法成功接入到內部網絡中。 考慮到內部網絡中可能存在一些特殊的主機無法安裝NiordSec內網安全平臺（如Linux平臺的服務器），但是為了業務的需要又必須接入到內網中，本系統提供了兩種白名單控制方式：單個主機白名單和IP段白名單。 （1）單個主機白名單。通過設置單個主機的IP地址或者MAC地址，從而確保未安裝本系統的主機的合法性。 （2）IP段白名單。如果存在多個主機需要設置，會給管理員增加較大的工作負擔。本系統提供了合法IP段白名單設置功能，處于這個IP段內的主機都將視為合法主機。 11、IP（MAC）管理
??? 對終端主機的IP地址、MAC地址進行管理是保證網絡正常運行的有效方式之一。終端主機隨意修改IP地址和MAC地址可能會導致網絡混亂，同時也可能是出于偽造他人身份進行非法操作的意圖。同時，ARP***是目前最常見的局域網***，其直接會導致局域網癱瘓。本系統提供了兩種關于IP（MAC）管理的措施：IP地址和MAC綁定以及ARP病毒免疫。 （1）IP地址和MAC綁定。終端主機安裝NiordSec內網安全平臺時，自動將終端主機的IP地址和MAC地址注冊到NiordSec服務器。如果終端主機試圖改變IP地址或MAC地址，本系統提供了兩種控制方式： 恢復 恢復正確的IP地址和MAC地址，終端主機還可以正常的使用網絡。 禁止網絡 立即禁止終端主機的所有網絡行為，直至其修改為正確的IP地址和MAC地址。 （2）ARP病毒免疫。該功能能夠有效地杜絕ARP病毒***，一旦內部網絡中出現了ARP***，首先會***行為進行預警，然后將ARP***所導致的MAC地址混亂的現象進行清理，通過將其設置為靜態MAC地址從而避免了ARP***所帶來的影響。 12、軟件（補丁）分發
對于一個中大規模的內部網絡，在安裝軟件或補丁時要求管理員逐臺主機進行安裝，那將會導致工作效率非常低。軟件（補丁）分發功能提供了有效的方式來分發和安裝軟件和補丁程序，大大提高了管理員的工作效率。該功能提供了三種軟件分發模式：文件傳輸、執行軟件和安裝軟件。 （1）文件傳輸。如果設定文件傳輸模式，那么管理員選定的文件將被傳輸到終端主機的指定目錄。 （2）執行軟件。如果設定軟件執行模式，那么管理員選定的軟件將被傳輸到終端主機的指定目錄，并且開始執行。 （3）安裝軟件。如果設定安裝軟件模式，那么管理員選定的軟件將被傳輸到終端主機的指定目錄，并且開始進行安裝。如果終端用戶強行退出安裝，重新啟動后又將提示終端用戶進行安裝，直到終端用戶成功安裝了該軟件。 本系統提供了對分發結果進行查詢統計；能夠即時終止、編輯軟件分發任務；能夠針對指定的操作系統進行軟件分發；能夠針對特定的計算機分組范圍進行軟件分發。 13、即時消息
即時消息功能為終端用戶和管理員提供了一個交流通道，方便他們及時進行溝通。這個交流通道是雙向的，由終端用戶即時消息和管理員公告兩個組件組成。 （1）終端用戶即時消息。終端用戶可以利用該組件向管理員發送消息，該消息會顯示在管理控制臺的預警平臺上，管理員可以及時進行處理。同時，該消息也會保存到NiordSec服務器，方便管理員不在線的情況可以進行事后處理。 （2）管理員公告。管理員可以針對某一個特定用戶、一個特定的組或者是整個網絡發送管理員公告。 靈活的安裝方式 本系統提供了多種安裝方式，完全適應在一個大規模網絡環境中快速有效地進行安裝部署，包括：光盤安裝、web安裝、遠程推送安裝和windows域安裝等方式。 （1）光盤安裝。執行安裝光盤中的安裝軟件，逐臺終端主機進行安裝，這種安裝方式效率較低。 （2）web安裝。通過訪問NiordSec服務器安裝網頁進行安裝，這種方式較光盤安裝方式略為方便。 （3）遠程推送安裝。該安裝方式支持在管控中心遠程推送平臺上直接向終端主機進行推送安裝，不需要逐臺終端主機進行點擊安裝，同時還支持多臺終端主機同時進行遠程推送安裝。 （4）windows域安裝。借助windows域提供的軟件部署功能進行安裝，這種安裝方式要求目標網絡必須已經部署了windows域環境。 14. 動態策略控制
??? 本系統的策略是終端主機控制規則的集合。策略的修改、添加、刪除、發布都由管理中心控制臺實施，通過策略服務器下發至終端主機，然后終端主機執行其相應的策略。 按照終端對象分類，策略可以分為兩類：用戶策略和機器策略。 （1）用戶策略。如果選擇了基于終端用戶的管理模式，那么用戶策略將會生效。用戶策略是管理用戶的規則集合，不論該用戶在哪臺終端主機上登錄，其執行的都是同樣的用戶策略。 （2）機器策略。機器策略針對終端主機生效，如果選擇了基于終端用戶的管理模式，那么機器策略只有在本地登錄方式下才生效。 按照網絡連通性分類，策略可以分為兩類：在線策略和離線策略。 （1）在線策略。如果終端主機能夠連接到NiordSec服務器，則執行在線策略。 （2）離線策略。如果終端主機不能夠連接到NiordSec服務器，則執行離線策略。 按照策略繼承關系分類，策略可以分為兩類：獨立策略和繼承策略。 （1）獨立策略。獨立策略指組、計算機或者用戶取消了與上級部門繼承的策略，從而擁有自己特有的策略。 （2）繼承策略。繼承策略指組、計算機或者用戶沒有設置自己特有的策略，而是選擇繼承上一級部門的策略。 安全管理員在管理中心制定完策略后，終端主機獲取策略的方式有定時獲取和即時獲取兩種模式。 （1）定時獲取策略。終端主機會定時從NiordSec服務器獲取最新策略信息，如果存在最新策略，則下載最新策略并開始執行。定時周期可以由管理員自定義，默認時間為5分鐘。 （2）即時獲取策略。安全管理員制定完策略后，可以向終端主機下達即時獲取策略的指令。終端主機接收到該指令后，會馬上從NiordSec服務器獲取最新策略并開始執行。 15. 日志審計
??? 完整、精確的日志記錄是成功進行審計的基礎，是事后追查追蹤的依據，同時也是預測安全發展態勢的指南。本系統日志記錄依據下列原則： 日志分級——本系統每產生的一條日志都有個安全等級字段（Grade），安全等級由安全管理員在制定安全策略時指定。日志安全等級的目的是提高日志審計的效率，同時突出了預警的概念。本系統日志分為兩個等級：普通日志和預警日志。 日志數據完整性——在線日志和離線日志。無論在哪種情況下，都必須保證日志數據的完整性。 （1）離線日志處理。終端用戶在離線狀態下，控制策略依然有效，終端代理產生的日志將緩存在本地，該日志受到嚴格保護，終端用戶不能對其進行訪問。當終端處于在線狀態時，緩存的日志將被上傳至日志服務器，保證日志在各種情況下的完整性。 （2）日志查詢。安全管理員能夠方便地定制查詢本系統產生的所有日志，可以靈活地設置查詢條件，包括：用戶信息、日志等級、日志產生時間、日志內容等。支持組合查詢、模糊匹配查詢等技術。 16. 強制文檔安全
??? 從企業對涉密文檔的防泄密需求來看，文檔的強制加密模塊能夠針對企業所關心的文檔類型或者進程，進行設定，例如對.doc文檔設定加密策略，那么全網范圍內，所有的.doc文檔，不管采用什么程序（office2003、office xp、office 2007、wordpad）進行編輯，.doc在存儲介質中都是以密文存在，通過U盤拷貝、發送mail、qq傳遞等，接受方都無法打開。但是本地計算機讀取的時候，進行透明解密，因此在本機打開沒有任何問題，這樣就能夠有效的防止惡意對企業的機密文件進行泄漏，也可以防止U盤丟失等問題。 可信文檔安全子系統主要包括以下功能 通過指定文檔類型、或者處理進程，能夠達到所有存儲介質上存在的該類型文件全部加密，有效防止機密信息泄露。 17、單點登錄
??? 主要包括一下功能： 登錄應用程序注冊和信息采集。系統注冊，用戶將鼠標移至指定登錄窗口或網頁的用戶名框和密碼框，并填入相應的登錄信息。信息采集，獲取指定的窗口的句柄，并由此獲取子窗口（控件）句柄或網頁表單信息。 登錄信息綁定。用戶根據登錄應用程序注冊和采集的信息填入實際登錄用戶用戶名、密碼等登錄信息，完成登錄信息與登錄控件的綁定過程。 系統自動登錄。后臺程序不斷的輪詢窗口信息，與預先采集的登錄窗口信息進行匹配，從而查找登錄窗口或網頁，并根據窗口進程名查找相匹配的用戶名和密碼輸入控件或表單信息，以及登錄按鈕窗口信息。單點登錄模塊會自動根據采集的信息將用戶名和密碼填入相應的控件或表單中，向登錄按鈕發送“點擊鼠標”消息，完成提交，最終實現自動登錄過程。 18、應用部署
??? 依據辦公網絡實際情況的不同，NiordSec內網安全平臺的控制臺支持多級管理、廣域網部署。在系統平臺實際應用中，一般有以下兩種應用部署方式：局域網部署和廣域網部署。每種方式均支持分級管理。廣域網的部署邏輯結構和局域網類似，因此我們以局域網為例講解系統的部署結構，如下圖所示。 應用部署示意圖 ? 一個內網只需要一臺服務器，執行認證、審計等功能，控制臺可以根據需求，進行分級分域管理，管理員控制臺的權限，可以按照部門設置劃分，也可以從功能維度上進行劃分。五、產品報價清單 ? -----------------------------END---------------------------

總結

以上是生活随笔為你收集整理的【拯救赵明】全面防护网络***服务器负载及安全解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。