铁桶阵保护-赵明网络整改方案

核心三层交换机划分VLAN，将不同类型的服务器划分至不同VLAN。其中，两台WEB服务器划分至同一VLAN，将默认网关指定F5  内网地址；数据库服务器划分在一个VLAN，默认网关指定核心三层交换机；FTP 服务器划分至一个VLAN，默认网关指定至三层交换机。

在各VLAN  中配置ACL，根据需要，只允许指定的流量，毕免当一台服务器被攻击破并被上传后门程序后，作为黑客“跳板”至其他服务器。

F5 负载均衡设置为单臂方式，在交换机中分别将F5  内、外接口划分至不同VLAN，内、外部接口配置地址，确保设备与网络的互通；F5 可针对于内网WEB 服务器的管理性能、延 时等多种条件智能管理两台服务器的流量均衡。

服务器前端安装IPS （如可选配置成透明方式），当服务器被黑客攻击但UTM 无法识别为攻击时，服务器前端的IPS 设备可保护服务器的安全；开启SYSLOG 服务，将目标SYSLOG服务器定义为H3C 安全管理中心，通过IPS 的所有流量全部发送至管理中心。

数据库、FTP 服务器前端安装IDS 设备，并开启SYSLOG 服务，该设备只记录攻击信息并生成攻击日志，以多种方式向管理员告警；同时，IDS 通过SYSLOG 方式将截取的流量信息发至H3C 安全管理中心。

H3C 管理中心可收集网络中各种设备的流量信息（需要网络设备开启SYSLOG 服务并将服务器提定为H3C 管理中心），生成管理表格并分类，通过设备本身的分析功能将各类流量分析为不同的警告等级，当UTM、IPS、IDS 等设备无法拦截或记录攻击方法时，管理中心可作为最后一道安全信息记录分析系统，将攻击警告以多种提示方式发送至管理员接收设备。服务器（windows 系统）只开启相关服务的指定端口，将其他无用端口如：445、135、139 等端口关闭，同时更改默认管理员的口令，并满足复杂性要求；服务器开启审计功能，对登入事件等审计失败、成功；配置WMI 将各种日志信息发送至H3C 安全管理中心；启用安全策略，更改默认登入错误次数的锁定（如更改为错误2 次以上锁定系统30 分等）。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]