通過文章說明趙明遇到的主要問題如下:
網站被攻擊,公司網絡斷網,
目前主要裝置:
其中包含:負載均衡器 1個,Web伺服器 2個(一主一備),檔案伺服器 1個,監控機(隻記錄日志) 1個,資料庫 2個,交換機 1個。
根據以上要求方案分為土狼派解決方案,學院派解決方案,商務派解決方案,土狼版的方案自然有土狼的精神,問題出在哪裡就要在哪裡解決,以解決問題為主。學院
版,就是從學術傳統解決方案出發,來完成解決方案。商務派的方案就是聯系到錢上來看問題。
土狼派解決方案根據網絡圖可以說明,趙明的公司不大,是以讓趙明公司做到把問題解決,就要在花錢少的情況下,完成公司的基本要求。在成本要求嚴格的情況下完成。具體方案如下。
1, 區分辦公網絡和伺服器網絡
通過趙明遇到問題,說明辦公網絡和服務網絡都會出現問題。是以,我們要把它們區分開,遇到問題分别對待。應用交換機進行分隔。
2, 加強安全防護
公司有這麼多公司級伺服器,是以一定要在出口放一個防火牆。防火牆兩個主要功能第一,防止黑客攻擊。第二,将内部網絡與外部網絡分隔開來。
具體方案:
根據方案可以看到,我們可能還需要購買防火牆,核心交換機。下面詳細說明防火牆和交換機選擇的目的,主要的應用。
防火牆配置及選擇:1, 劃分Untrust區和trust區,整合安全政策,将網際網路設外untrust區 公司内網設為trust區。
2, 流量分析控制,将服務劃分為固定IP,将辦公員工劃分為DHCP指定位址。基于IP位址的控制。檢視每個IP位址接口,流量,主要應用協定等。
3, 審計報警,資料分析完成後,進行接受,拒絕,丢棄等應用。
4, NAT配置,主要對伺服器進行針對性的配置。給伺服器相應出口。
5, 防火牆防範常見的攻擊ARP,DDOS,IP沖突,挂馬等。
防火牆的選擇:
防火牆要有流量控制,審計報警等功能。是以請選擇防火牆除了帶寬可以足夠應用之外,最好是第三代防火牆。
核心交換機配置及選擇:1. 劃分VLAN ,伺服器VLAN,員工VLAN網段。對該兩部分區進行區分。也為以後友善管理。
2. ACL應用,
a) 财務人員,行政人員,開發人員 不可以通路伺服器,防火牆,交換機等
b) IT 人員 可以通路伺服器,防火牆,交換機等
c) 除财務人員外,其它人員不可以通路财務部門
3 生成樹
配置生成樹,保證網絡在有環路也可以正常運作。
核心交換機比較重要,是以沒能讓防火牆做ACL就是希望核心交換機承擔更重一些的負擔。現在的防火牆很多的時候,真的不如核心交換機讓人放心,這隻是個人心得。
4 DHCP
員工上網的IP位址要根據使用者所在部分進行劃分。但伺服器要指定IP位址。
核心交換機的選擇現在核心交換機(三層交換機)的功能也很多。但要注意以下幾點。
擴充能力:采用子產品化結構,必須擁有相當數量的插槽。以适應公司發展變化的網絡需求。以可以進行子產品備援。
性能參數:在該設計方案中,對核心工作比較重要,是以根據公司日常流量來選擇。
三層交換:核心一定要是三層交換,如果要為四層交換有更多的花錢,我以為沒有必要,因為我們選擇了第三代防火牆。
還有一些功能,比如QoS,安全性能。可能不是必要的,因為部分可以在防火牆應用。
學院派解決方案學院派就是要按照傳統方法進行,按傳統方法的劃分就是從哪裡區分哪就放防火牆。如果網絡比較大就要放防火牆和路由器。但是,我本人太不喜歡用路由器了。因為一些基本的路由,核心就可以完成。如果路由器都是靜态路由還好。如果都是動态路由,debug時候太困難了。
将安排DMZ區,将網絡分為Internet區,Web伺服器區,員工網絡區,公司級應用伺服器級區。其中員工網絡區和公司級應用先放在一起,這裡就不多說了。
按照傳統理論将網絡區分通常要用防火牆,按照傳統術方法,需要應用兩個防火牆。将WEB相關伺服器放在DMZ區,DMZ區伺服器到Internet政策相對寬松。對公司伺服器應該放在相對安全的環境下。是以放在公司網内中。
網絡改造後情況
改造後主要增加的裝置
根據方案可以看到,我們可能還需要購買兩個防火牆,IPS,交換機。下面詳細說明防火牆和交換機選擇的目的,主要的應用。
從Internet到公司的第一個防火牆很重要,是以要有以下的功能。
A 劃分Untrust區和trust區,将網際網路設為untrust區 公司DM\Z為trust區。
B 流量分析控制,該防火牆作為一個總出口。是以一定要有流量分析。了解公司内網使用者的主要行為。
C 審計報警,資料分析完成後,進行接受,拒絕,丢棄等應用。
D NAT配置,主要對伺服器進行針對性的配置。WEB伺服器相對應的出口。
E防火牆防範常見的攻擊ARP,DDOS,IP沖突,挂馬等。主要防止外部的攻擊。
從DMZ區到公司内網的防火牆就要求就不用太高了。隻要可以做簡單的Policy就可以了。
A 劃分Untrust區和trust區,将WEB伺服器設為untrust區 公司内網設為trust區
B審計報警,資料分析完成後,進行接受,拒絕,丢棄等應用。
C防火牆防範常見的攻擊ARP, IP沖突等。常見内部問題。
交換機配置及選擇:交換機主要起到與伺服器的連接配接的功能,是以不需要有太多的功能,隻要品質好一點就Ok了。
但是希望圖中原有的機器有以下功能。為了員工網絡的安全。
1,劃分VLAN ,伺服器VLAN,員工VLAN網段。對該兩部分區進行區分。也為以後友善管理。
2,ACL應用,
IPS 配置及選擇:因看到WEB應用出現了問題是以,WEB常常出現的問題就是挂馬,篡改WEB資訊。有不少防火牆是有網站安全解決方案。但是,為了更加安全,萬無一失傳統方案會對症下藥。這個樣子就比較安心了。網站伺服器還是主動的好一些。IPS就比較好一點。
商務派解決方案:商務派解決方案,一切從錢考慮。從錢考慮就要想到另一個方案。如圖:
把公司WEB相關伺服器都交給專業的人。比如比較大營運商來做,把自己公司網絡做好就好了。因為,看錄像了解,公司就趙明一個人,而且也沒有專門的制度來管理。如果想針對公司業務進行IT相關管理,專業的人員的費用也很高,而且很可能讓公司買很多裝置。但是,如果說讓專業的人來做專業的事情就好很多。是以選擇服務托管方式,或者就用信用好的營運商哪裡租用伺服器。是以不用對網絡進行大量改造。隻要把服務給托管就好了。
以上是我想到的主要方案,我本人很實在,方法全部是從使用者角度來說。為了避免被人說成軟文,是以沒有推薦任何網絡裝置。