<listing id="jnll3"></listing>
<var id="jnll3"><dl id="jnll3"></dl></var>
<var id="jnll3"><strike id="jnll3"><listing id="jnll3"></listing></strike></var>
<var id="jnll3"><dl id="jnll3"><progress id="jnll3"></progress></dl></var><ins id="jnll3"></ins>
<var id="jnll3"><strike id="jnll3"></strike></var>
<var id="jnll3"></var>
<ins id="jnll3"><video id="jnll3"></video></ins>
<var id="jnll3"><dl id="jnll3"></dl></var>
<var id="jnll3"></var>

張北一中數據中心及出口解決方案

2016-01-22

1. 項目背景 

張北一中是壩上地區建校最早、規模最大的一所全日制普通中學,經過多年來持續高效、科學的發展,張北一中已經在各個方面取得了重大突破,近些年來在信息化建設上也加大投入,實現了教學與網絡一體化建設。

但教育信息化建設也存在諸多隱患,主要表現在以下幾個方面:

一是服務器系統和終端系統本身存在漏洞隱患,漏洞安全的防護越來越需要著重考慮;

二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯,尤其是APT攻擊,通過植入木馬在服務器和終端開辟后門盜取機密信息的事件層出不窮;

三是隨著對外Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多,網站被篡改事件日益增多。

四是張北一中對外發布網站每天都有大量的訪問量,尤其是在招生季,并發訪問量較大,服務器承載的壓力比較大,并且隨著對外發布應用系統的數量增加,對外發布的服務器系統的穩定性也越來越需要著重考慮。

五是學校員工和學生的上網行為如果不進行細致管控的話,可能會出現帶寬濫用、工作效率低下、數據泄密,甚至是違法行為。

2.需求分析

2.1系統安全需求

張北一中數據中心區域包含Web服務器、存儲服務器、數據庫服務器等多種類型的服務器,向internet、intranet等多個區域提供服務,系統要面臨來自內外網多個區域的安全威脅。其安全保障意義重大。而傳統的安全規劃僅僅是通過vlan、ACL訪問控制對其進行安全隔離。應用層攻擊仍然能夠穿透這些安全隔離的手段,從外向內部進行滲透。同時帶有目的性的內網被控制用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。風險造成的結果有以下幾種:

服務器系統篡改問題

學校網站的架構是B/S架構,大量的web應用可能存在被攻擊的風險。服務器系統的篡改是指攻擊者利用Web應用程序漏洞將正常的網頁替換為攻擊者提供的網頁/文字/圖片等內容。一般來說篡改的問題對計算機系統本身不會產生直接的影響,但對于服務器系統,需要與用戶通過服務器系統進行溝通的應用而言,就意味著服務器系統的服務將被迫停止服務,對學校形象及信譽會造成嚴重的損害。

服務器系統掛馬問題

服務器系統網頁被掛馬也是利用Web攻擊造成的一種網頁篡改的安全問題,相對而言這種問題會比較隱蔽,但本質上這種方式也破壞了服務器系統的完整性。掛馬會導致Web服務器的最終用戶成為受害者,成為攻擊者的幫兇或者造成自身的損失。這種問題出現在服務器系統中也嚴重影響服務器的正常運作并影響到學校的公信度。

無法響應正常服務的問題

黑客通過網絡層DOS/DDOS拒絕服務攻擊使服務器系統無法響應正常請求。這種攻擊行為使得服務器充斥大量要求回復的信息,嚴重消耗網絡系統資源,導致服務器系統無法響應正常的服務請求。對于系統可用性而言是巨大的威脅。

系統服務器被控制

黑客通過系統漏洞攻擊、應用程序漏洞攻擊可以使造成緩沖區溢出等安全問題,通過這些問題可以使得黑客可以肆意的在出現溢出的過程中添加具有權限獲取能力的代碼,并通過這些手段最終獲取系統服務器的權限。服務器的系統權限一旦被黑客獲取,就意味著黑客可以完全控制服務器系統的服務器并為所欲為,其危害不言而喻。

敏感信息泄漏問題

這類安全問題主要web攻擊、系統漏洞攻擊等攻擊手段操作后臺數據庫,導致數據庫中儲存的敏感信息被攻擊者獲取。這對于學校系統而言是致命的打擊,可產生巨大的不良影響。

 

 

2.2服務器穩定需求

數據中心系統發布區域是對公眾提供服務的服務器系統,這些服務器系統的健康狀況直接影響學校的形象,因此必須保障服務器系統在任何時候的可用性。而從服務器系統的高穩定性上來說,一般分為以下幾個部分:

鏈路高可用

采用多運營商互聯網出口以解決南北運營商互通的問題,同時多鏈路部署的方式能夠保障服務器系統不會因為鏈路的中斷而斷線。

服務器高可用

服務器系統承載于服務器,服務器雖然穩定可靠但如果不合理分配流量也會造成服務器系統的中斷。為了避免因為單個服務器過于繁忙而引起的服務器系統中斷,需要采用高可靠的服務器負載均衡技術,保障每臺服務器都能合理地運行,不會影響公眾對服務器系統/門戶網站的訪問。

2.3行為管理需求

1.帶寬濫用

隨著互聯網的普及,張北一中服務器幾乎都依托于互聯網進行。學籍管理、教學系統等已成為基礎設施,共同構成服務器信息化平臺。但是在內部網絡中,除了這些關鍵服務器系統外,還存在著P2P下載、在線視頻、網絡炒股、購物、游戲、在線小說等非關鍵服務器應用,形成了復雜的網絡應用“脈絡”。

在眾多的網絡應用中,尤以P2P應用的帶寬侵蝕性最為強烈。據調查統計,P2P應用對帶寬占用比大致是40%~60%,在極端情況下占用比會達到80%~90%。同時,再加上其他與工作無關的應用占用了帶寬資源。因此,在日常辦公當中帶寬有效利用率不到30%。

2.工作效率低下

網絡的普及改變了傳統的辦公方式,而張北一中內總有部分人員在上班時間有意無意的做與工作無關的網絡行為,比如聊天、炒股、玩網游、看視頻、網購等,嚴重影響工作效率。

3.數據泄密

張北一中服務器依托于互聯網開展,在沒有任何網絡安全防護措施下,張北一中將承受信息外泄風險。因此,為了防止數據安全隱患,既要預防黑客入侵系統竊取資料,又要禁止學校內部人員主動外發資料。

4.違法行為

學校員工在日常辦公中擁有訪問互聯網的權限,可通過QQ、MSN、論壇或微博等方式外發信息,如果包含了色情、賭博、反動等不良信息,都屬于網絡違規違法行為,學校將有承擔法律責任的風險。

 

3.解決方案設計

為了解決上述的問題,我們建議在張北一中數據中心及出口采用一體化解決方案,該解決方案具備出口鏈路優化、整體安全防護、服務器負載均衡、上網行為管理四大功能模塊,分別從出入流量的鏈路優化、L2-L7的整體安全防護、服務器處理性能監測、行為管理等方面整體解決目前面臨的張北一中數據中心及出口安全防護困擾、用戶訪問體驗保障困難等問題。整體解決方案的拓撲示意圖如下:

 

 張北一中數據中心及出口拓撲圖

 

3.1安全方案設計

安全防護類別有以下幾種:

IPS漏洞防護:包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等

服務器防護:保護服務器免受基于Web應用的攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護、支持根據網站登錄路徑保護口令暴力破解;

病毒防護:基于流引擎查毒技術,可以針對HTTP、FTP、SMTP、POP3等協議進行查殺;

Web安全防護:支持URL過濾、文件類型過濾、ActiveX過濾、腳本過濾等。

深信服安全設備不僅在防護種類上不斷積累,在防護準確度上也一直不懈的努力。我們知道,黑客的攻擊往往是分為若干步驟的,每個步驟之間都是有時序和邏輯上聯系的,若單一割裂的看每個步驟,忽略他們之間的聯系,勢必會使威脅有可乘之機,降低防護精度。深信服安全設備的灰度威脅關聯分析引擎,可以對用戶的多個網絡行為進行關聯,比如一個用戶首先對HTTP服務進行了慢速CGI掃描,傳統防護設備反饋的結果證明其運行了可能含有漏洞的某個CGI,之后該用戶又發送了包含ShellCode的請求。若分別看這兩次行為,每個都不能絕對地將其界定為惡意行為;如果將兩個行為聯系起來,則基本可以確定該行為的高風險等級。通過這種方式,大大提高了應用防護的精度。

深信服致力于打造安全、高效、可靠的安全數據中心解決方案,幫助用戶將安全風險降到最低,打造“安全“、”可靠“、”高效“的數據中心。

深信服可為張北一中提供完整的應用安全加固安全解決方案。

通過在服務器集群匯聚交換前以及在互聯網出口前部署兩臺深信服IPS、深信服網頁防篡改、深信服出口防火墻,可實現服務器系統的邏輯隔離,防止來自網絡層面、系統層面、應用層面以及數據層面的安全威脅在對外發布區域內擴散。

通過深信服入侵防御IPS與網頁防篡改的部署可以從從攻擊源頭上幫助張北一中防護導致服務器系統服務器區內服務器各類網絡、系統、應用、數據層面的安全威脅;深信服IPS和網頁防篡改提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產生的網頁篡改、敏感信息泄露的問題,實現防攻擊、防篡改、防泄密的效果。

利用入侵防御系統可實現對服務器集群操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題。

通過網頁防篡改安全設備的部署,可實現數據中心的web服務器、數據庫服務器等各種服務器的安全防護。防止黑客利用服務器代碼開發安全保障不利,使得系統可輕易通過web攻擊實現對web服務器、數據庫的攻擊造成數據庫信息被竊取的問題。

 

3.2鏈路負載均衡和服務器負載均衡方案設計

本方案設計充分考慮網絡的穩定性以及后續的擴展性,采用深信服AD設備實現服務器負載均衡。深信服AD設備包含了鏈路負載均衡和服務器負載均衡兩大功能,對后續網絡和應用系統的擴建、穩定性保障以及優化建設都有很好的擴展性。

1、深信服AD部署在數據中心前端,在實現鏈路負載均衡的同時,保證整個系統的穩定和高可用性;也能夠實現智能選擇服務器,讓每個服務器都能均衡地運行。

2、當用戶請求到深信服AD設備的時候,根據預先設定好負載策略能夠合理的將每個連接快速的分配到相應的服務器。

3、通過對服務器健康狀況的實時監控,能夠實時的發現故障服務器,及時將用戶的訪問請求切換到其他正常服務器之上。

4、配合深信服獨特的單邊加速技術,能夠是現在用戶端不安裝任何插件和客戶端的情況下提升用戶的訪問速度。

5、通過深信服AD設備具備的緩存、壓縮、ssl卸載、連接復用等功能進一步降低服務器性能消耗。

 

 

3.2.1詳細設計與方案價值

1.服務器接入的連通性與快速性

接入互聯網的用戶數量眾多,所使用的寬帶運營商也種類不一,必然會存在相當一部分用戶在訪問的過程中遭遇跨運營商,由此所引起的傳輸過程中延時和丟包,會對用戶的訪問速度和訪問體驗造成影響。 

 

 

深信服AD通過智能DNS解析技術,將服務器發布的域名綁定到多條鏈路的公網接入地址。當用戶發起訪問時,通過響應來自互聯網的域名解析請求,根據最匹配的策略為不同運營商的用戶返回最佳的訪問地址,確保服務器訪問的快速可靠。

 

2.完善的鏈路可用性管理

提供持續、動態的鏈路健康度檢查機制,實時監控服務中斷和連接異常情況,能即刻切換到健康通暢的鏈路上繼續發布服務器,并可基于鏈路分配算法、鏈路繁忙度、靜態就近性、動態就近性等多重因素來制定訪問調度策略,充分適應復雜互聯網環境,確保服務器訪問的持續性、可靠性和穩定性。

 

3.業內最完備的全球地址庫

內置可自動更新的IP地址庫,準確識別用戶來源以解析到最佳接入線路;包含三大運營商、6家二級運營商及教育網的所有地址段,區分全國34個行政地域的地址段,以及覆蓋全球所有國家共9400以上的地址段,完全無需用戶手動導入。

 

 

3.2.2應用系統的穩定高效

對于張北一中數據中心而言,訪問的響應時延和服務的可靠性是非常重要的問題。隨著服務器的不斷增長,對部署了多臺服務器的數據中心而言,并非全部服務器都發揮了充足的效能;當個別服務器發生故障導致服務“不可用”時,也未必能夠檢查出故障并及時處理。

通過深信服AD設備對外發布虛擬服務的方式實現服務器負載均衡,不僅可以確保用戶的訪問始終被分配到性能最佳的服務器,并且能透明處理后臺服務器端的所有故障,使張北一中數據中心系統始終提供高效穩定的服務。

  

1.L4/L7信息處理與分發

提供輪詢、加權輪詢、加權最少連接、最快響應時間、基于SNMP動態反饋、優先級、哈希等多種負載均衡算法

實現基于TCP流、SSL證書變量、HTTP/HTTPS請求、DNS查詢域名等因素的內容層調度

支持匹配HTTP請求/應答的內容改寫,以及自定義HTTP內容的重定向

 

2.服務器可用性監控

基于硬件運行狀態的主動式檢查,通過ICMP(ping)、SNMP等方式監控服務器運行狀態

基于模擬發送應用請求的主動式檢查,支持HTTP/HTTPS、FTP、DNS、Radius、TCP/UDP、SQL數據庫等的多種應用類型

基于對服務器流觀測采樣的被動式檢查,支持對HTTP狀態碼和異常TCP傳輸行為的分析,輔助判斷應用服務器健康狀況

 

3.會話保持處理機制

支持基于客戶端源IP地址信息的簡單會話保持方式

支持基于Cookie(插入、被動、改寫、會話Cookie)、HTTP(頭部、URI、內容)、Radius、SSL Session ID等信息的應用層會話保持方式

 

4.服務器穩定性的運維保障

高級ACL控制,可限制訪問應用服務的源IP并發連接數目

應用層DoS防護,可限制訪問HTTP/HTTPS/DNS應用服務的請求速率

浪涌保護,服務器高峰期執行TCP/HTTP連接排隊,防止服務器過載

3.3上網行為控制

網絡應用極其豐富,尤其隨著大量社交型網絡應用的出現,用戶將個人網絡行為帶入辦公場所,由此引發各種管理和安全問題。因此,全面的應用控制幫助管理員掌控網絡應用現狀和用戶行為,保障管理效果。

3.3.1應用控制

互聯網應用眾多,要在內網對各應用進行合理的管控,首先需要對應用進行識別。AC內置龐大應用特征識別庫,包含1500多種應用,可識別目前網絡中各種主流應用,如微博、社區論壇、網盤、在線視頻和移動APP等。對于未知應用,AC支持自定義功能,用戶可通過協議、IP、端口等元素定義內網系統應用,從而對不同用戶進行控制。

針對目前P2P應用泛濫的趨勢,AC的P2P智能識別技術基于P2P行為進行識別,不僅能夠對現有的BT、迅雷、電騾等P2P軟件進行管控,還能夠對不常用的、未來可能出現的P2P軟件進行有效管控。并且對P2P行為嚴重吞噬帶寬資源的問題,提供P2P應用封堵措施。針對類似P2P難以管控的應用,AC內置應用智能識別庫,自動判斷新出現應用特征,從而歸類管理。

網頁過濾

張北一中辦公人員在日常需要使用網絡的工作中,需要搜索訪問互聯網?;ヂ摼W的開放性帶來了資源的傳播和共享,同時也為不良資源提供了擴散的平臺。反人類、反政府、色情、賭博、毒品等包含不良信息的網頁屢見不鮮、層出不窮,因此,需要網頁分類、搜索引擎關鍵字過濾等技術來控制網頁訪問行為。

AC內置千萬級URL庫,將互聯網網頁分成60多個類別,同時每半個月實時更新和維護URL庫。

發帖過濾

AC可對發帖進行關鍵字過濾。天涯、貓撲、百度貼吧等論壇網站,AC可設置只允許登陸、看帖,但不允許發帖,或者實行發帖關鍵字過濾,靈活避免張北一中出現泄密或者發表不良言論帶來法律追究責任的風險。

3.3.2流量控制

張北一中的出口帶寬有限,隨著網絡應用的豐富,出現各種吞噬帶寬的應用,如P2P應用,若不對這些應用加以限制管理,張北一中的帶寬資源必會被搶占,而核心業務卻得不到帶寬,從而導致整體網絡速度變慢,影響正常的郵件發送和網絡訪問。因此,張北一中需要一種流量管理工具,識別應用流量,對現有的帶寬進行合理的分配。P2P智能流控。

目前互聯網上流行的P2P下載、流媒體等應用程序通常具備強烈的帶寬侵占特性,傳統流控手段是通過緩存和丟包手段來實現流量控制的目的,但是某些P2P應用如P2P流媒體、P2P下載工具等缺乏自身流控機制,即使被丟包依然不會主動降低速率,仍搶占大量的帶寬資源。同時對于下行的接收流量來說,被丟棄的數據包已經占用了線路帶寬,關鍵業務的帶寬依然得不到提升,流控達不到預期的效果。

針對這些問題,AC通過智能流控功能,能有效解決P2P應用的問題。雖然基于UDP協議的P2P應用對丟包不敏感,但是下行流量與上行流量有顯著的相關性,只要控制住上行流量,下行流量就能得到控制。當開啟AC的智能流控功能時,系統會根據下行流量的設定值對上行流量進行自動調整,從而達到控制和減少下行流量的效果,從源頭處有效限制P2P流量。

動態流量控制

AC還提供了動態流控功能。用戶可通過配置線路空閑閥值,以及定義線路的空閑和繁忙狀態,實現針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制,應用流量可突破原來設定的最大帶寬限制;當線路繁忙時可以下壓通道帶寬,使帶寬恢復到被限制狀態,執行原有的流控策略。通過靈活的帶寬管理,最大滿足業務對帶寬的需求,實現帶寬的最大價值。

3.3.3行為審計

員工日常工作中涉及了大量與單位密切相關的信息,這些信息一旦公開,給單位將帶來泄露商業機密、觸犯法律風險等違規違法的隱患。當這類事情出現的時候,為了在最短的時間內找到網絡違法的當事人,避免由張北一中承擔相應法律責任。因此,通過AC的應用審計功能,詳細記錄員工的日常上網行為。

AC支持實時監控功能,可對AC設備的運行狀態、安全狀態、流量狀態、上網行為監控、在線用戶管理、郵件延遲審計進行實時監控。管理員不需要登陸數據中心即可實時查看網絡的各種應用和流量使用情況,簡單快捷。

AC實時監控和完善的應用審計功能,幫助網絡管理員了解內網用戶的上網行為,同時也作為追查依據。



下一篇:無
本網站由阿里云提供云計算及安全服務 Powered by CloudDream