某互聯(lián)網(wǎng)公司作為一個知名的網(wǎng)站,時時都有受到攻擊的威脅。目前該互聯(lián)網(wǎng)公司非常大的安全隱患是來自外網(wǎng)的拒絕服務(wù)公司(Denial of Service Attacks),包括以SYN Flood和Ping Flood為主的技術(shù),其主要方式是通過使關(guān)鍵系統(tǒng)資源過載,導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用,甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓。
世紀(jì)互聯(lián)針對該互聯(lián)網(wǎng)公司網(wǎng)絡(luò)和業(yè)務(wù)的實際情況,采用了防火墻、路由器、IDS相結(jié)合的辦法,提出了一套以防范拒絕服務(wù)攻擊為主的安全服務(wù)解決方案。
方案實施
該互聯(lián)網(wǎng)公司在遭受拒絕服務(wù)攻擊時,單純地使用防火墻并不能進(jìn)行有效地防護(hù)。因此,世紀(jì)互聯(lián)在部署該互聯(lián)網(wǎng)公司防范拒絕服務(wù)攻擊的配置時,運用了將防火墻與路由器相結(jié)合的方式。
世紀(jì)互聯(lián)針對該互聯(lián)網(wǎng)公司的拒絕服務(wù)攻擊的安全解決方法是,在該互聯(lián)網(wǎng)公司和IDC的接口使用Cisco 7206路由器,在南樓和北樓分別加防火墻,利用這種防范措施相結(jié)合,共同抵制拒絕服務(wù)攻擊。
路由器的部署
為阻止拒絕服務(wù)攻擊,世紀(jì)互聯(lián)將該互聯(lián)網(wǎng)公司原來的2948路由器換為Cisco7206路由器。這種Cisco的72系列路由器的優(yōu)勢在于:能有效執(zhí)行TCP截取和封掉源地址等功能。
TCP截取特性,通過截取和驗證TCP連接請求的合法性來防止SYN的報文洪水。在截取模式下,TCP截取軟件截取從客戶到服務(wù)器并與擴(kuò)展訪問列表匹配的TCP同步(SYN)分組。其中,軟件代表目標(biāo)服務(wù)器與客戶建立連接,以便于客戶與服務(wù)器進(jìn)行連接,并且透明地將兩個半連接結(jié)合起來,使來自不可抵達(dá)主機(jī)的連接請求不能到達(dá)服務(wù)器。同時,在連接期間,軟件繼續(xù)轉(zhuǎn)發(fā)和分組。
如果出現(xiàn)非法請求,軟件在半打開連接上的主動超時功能以及TCP連接請求設(shè)置閥將保護(hù)目標(biāo)服務(wù)器,使其繼續(xù)準(zhǔn)許合法請求。
靈活使用TCP截取建立安全策略,可選擇截取所有請求或只截取來自特定網(wǎng)絡(luò)或目標(biāo)為特定服務(wù)器的請求,也可以配置連接速率和未解決連接數(shù)目的閥值。
采用在監(jiān)視模式下運行TCP截取,與截取模式不同的是,在監(jiān)視模式下,軟件的被動監(jiān)視通過路由器的連接請求,如果在配置的時間內(nèi)沒能建立連接,軟件將干預(yù)并終止該連接請求。
路由器設(shè)置步驟
一旦發(fā)現(xiàn)對給互聯(lián)網(wǎng)公司的拒絕服務(wù)攻擊,世紀(jì)互聯(lián)的安全服務(wù)工程師首先會在監(jiān)控中心檢測到這種攻擊行為,并且會在第一時間通知該互聯(lián)網(wǎng)公司。同時,在授權(quán)的情況下,世紀(jì)互聯(lián)在路由器上的設(shè)置將以如下步驟進(jìn)行:
1、啟用TCP截取;2、設(shè)置TCP截取模式;3、設(shè)置TCP截取刪除模式;4、更改TCP截取定時器;5、更改TCP截取主動閥值;6、監(jiān)控和維護(hù)TCP截取。根據(jù)世紀(jì)互聯(lián)的測試情況,在該互聯(lián)網(wǎng)公司遭受Flood攻擊時,可字7206路由器上做
如下配置:
1、設(shè)置TCP截取模式為watch;2、配置擴(kuò)展IP訪問列表101,截取發(fā)送給受攻擊子網(wǎng)中所有的TCP包;3、設(shè)置TCP截取的定時器時間值;4、可以隨時顯示TCP截取的信息。
防火墻的部署
由于該互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)分布在南樓和北樓兩個物理位置,因此世紀(jì)互聯(lián)分別在兩個2914之前安裝了2臺Netscreen防火墻,均采用透明的工作模式。
Netscreen的策略由世紀(jì)互聯(lián)和該互聯(lián)網(wǎng)公司的技術(shù)人員共同配置,對SYN Flood、Ping Flood、UDP Flood等拒絕服務(wù)攻擊都設(shè)置為阻斷。
綜上所述,世紀(jì)互聯(lián)為該互聯(lián)網(wǎng)公司提供的拒絕服務(wù)攻擊的安全防護(hù)包括可交換機(jī)、防火墻層。通過這層防護(hù),極大限度地降低了該互聯(lián)網(wǎng)公司所受到的拒絕服務(wù)攻擊的危害。同時,世紀(jì)互聯(lián)提供的入侵檢測服務(wù),可以為該互聯(lián)網(wǎng)公司提供網(wǎng)絡(luò)違規(guī)的預(yù)警。
應(yīng)用優(yōu)勢
世紀(jì)互聯(lián)為該互聯(lián)網(wǎng)公司定制的整體網(wǎng)絡(luò)安全解決方案的優(yōu)勢在于:在網(wǎng)絡(luò)改動較少的前提下,有效地阻止DDOS的攻擊;同時,由于使用了IDS的服務(wù),使該互聯(lián)網(wǎng)公司具備預(yù)警的功能,從而能及時根據(jù)網(wǎng)絡(luò)攻擊事件制定緊急響應(yīng)對策,充分體現(xiàn)了經(jīng)濟(jì)性和高效性。
68476636-8002)
