服务器

位置:IT落伍者 >> 服务器 >> 浏览文章

深层防御DDoS攻击 服务器综合利用


发布日期:2023年03月11日
 
深层防御DDoS攻击 服务器综合利用

综合利用

从供应商架构中的DDoS减弱方法用于网络维护的防火墙和入侵防御(IPS技术再到用于应用层保护的Web应用防火墙还有用于维护文件系统完整性的内容完整性监控系统(CIMS最后是为各种平安和服务器组件提供日志信息的日志管理系统(LMS不过要想拥有一个可以实时监测平安威胁并具备安全适应性的平台恐怕还任重而道远

这种防御机制下深层防御是指用一系列防御机制保护电脑如果其中一个失效那么其他维护方法还可以发挥作用偏重实用的深层防御安排案例例证整合了现有的技术和高效的综合型企业网络安全架构

环境

让我先考虑下面这个常见的企业IT装置情境许多企业出于不同的原因使用第三方托管架构服务通过外部托管为了说明如何安排深层防御企业有能力利用保守空间或能源模式在托管服务供应商租借一个安全的环境同时又可以对系统进行自主管理或者他也可以从供应商那里购买托管服务这其中包括网络系统和安全服务这些环境旨在托管企业中可被公众访问的系统其范围涉及邮件公司用户文件传输服务企业电子商务平台

平安都在环境设计中扮演着重要的角色设计此类环境平安的一种典型方法是利用网络这样讨论的目的于让我设想企业将自己的电子商务平台托管到这样的环境中电子商务平台包括Web层级不管是租借的还是托管型部署这些层级就好像是各种交易的传输工具或支付网关一样中间件和数据库层级起支持作用这样的设计要求把每个层级都托管到合适的网络也就是虚拟局域网或VLAN用过滤设备如在平安性较低的界面使用带有Web服务器的防火墙等便可以完成这一任务而中间件和数据库层级要托管到平安性较高的界面而且不能从公共网络直接访问中间件和数据库层级某些设计情境中中间件和数据库层级位于相同的防火墙界面之后只不过位于不同VLAN上此类情境中两个层级之间不存在流量过滤除非交换机强制要求进行过滤

这类案例中的防火墙就好像是防御互联网威胁的最基本屏障会将这样的环境作为安排深层防御战略(使用现有平安技术)基线

切实可行的深层防御

可以依照不同企业的具体需求分别对待笔者想到一个为上述环境安排平安安排平安方案的好方法

第二个组件主要通过已知的流量行为来减轻攻击(例如深层防御的第一步是供应商网络架构中的企业环境外强制部署该技术组件主要负责维护环境免受分布式DDoS攻击DDoS攻击缓解技术一般包括两个组件第一个组件主要通过监控普通流量中的异常行为来检测攻击威胁管理系统或TMS

因此可以减少链接饱和的风险和增加的带宽本钱DDoS维护通过边境网关协议(从中心路由设备到DDoS清理中心)实现瞬时的流量分离最有效的DDoS减缓时通过供应商的架构实现

但是托管环境中防火墙可以有效阻挡特定网络威胁端口对互联网敞开HTTP/TCP和HTTPS/TCP其有效性受到局限这样的环境中最好是用Web应用防火墙设备来增大防火墙

如跨站点脚本攻击Web应用防火墙主要被用来保护环境免受针对应用的攻击SQL注入和参数篡改等这些设备都是通过托管环境中防火墙和核心网络交换机之间的物理连接来配置一个Web应用防火墙就像是一个桥接设备可以在应用层拦截那些与已知攻击向量流量的特征相符合的数据流当硬件启动失效的时候也不能被打开所以它能确保流量继续流向Web服务器一些Web应用防火墙供应商也提供数据库的监控和保护服务这些服务可以掌控通向数据库的威胁维护是通过代理强制安排而代理通常被安装在托管数据库的服务器上

因此它对以网络为中心的攻击不能进行有效拦截如互联网蠕虫一个Web应用防火墙可用来配合入侵防御系统由于Web应用防火墙一般关注的都是发生在应用层的攻后者主要是对网络层上完成基于签名的修复这些设备在内联容量中整合了防火墙而它离开防火墙的同时会拦截威胁因此可作为模块使用

对于有效地深层防御而言随着我进一步接近服务器平台抵抗恶意威胁和监控文件系统的任务显得尤为重要可以结合主流反病毒/反恶意软件和内容完整性监控系统来实现这一任务其中内容完整性监控系统可以实时追蹤文件系统发生的更改并发出警告

该系统就好像是单独平安组件的日志存取器除了可以用作保守服务器的日志存取器将所有的尝试结合在一起就可以实现集中式日志管理系统一个日志管理系统还可以在预置的事件过滤器上生成实时警告而且还能为各种安全组件的日志数据提供灵活的搜索界面另一类名为安全信息和事件管理的系统则在日志管理中具备根可被用来代替日志管理系统平安信息和事件管理系统扩展了日志管理系统的功能因为它还可以提供智能的威胁分析与减弱威胁的功能

上一篇:win7下ftp服务器配置方法

下一篇:IIS7如何进行备份和恢复的详细步骤