某互聯(lián)網(wǎng)公司作為一個知名的網(wǎng)站，時時都有受到攻擊的威脅。目前該互聯(lián)網(wǎng)公司非常大的安全隱患是來自外網(wǎng)的拒絕服務(wù)公司(Denial of Service Attacks)，包括以SYN Flood和Ping Flood為主的技術(shù)，其主要方式是通過使關(guān)鍵系統(tǒng)資源過載，導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用，甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓。
世紀(jì)互聯(lián)針對該互聯(lián)網(wǎng)公司網(wǎng)絡(luò)和業(yè)務(wù)的實際情況，采用了防火墻、路由器、IDS相結(jié)合的辦法，提出了一套以防范拒絕服務(wù)攻擊為主的安全服務(wù)解決方案。
方案實施
該互聯(lián)網(wǎng)公司在遭受拒絕服務(wù)攻擊時，單純地使用防火墻并不能進(jìn)行有效地防護(hù)。因此，世紀(jì)互聯(lián)在部署該互聯(lián)網(wǎng)公司防范拒絕服務(wù)攻擊的配置時，運用了將防火墻與路由器相結(jié)合的方式。
世紀(jì)互聯(lián)針對該互聯(lián)網(wǎng)公司的拒絕服務(wù)攻擊的安全解決方法是，在該互聯(lián)網(wǎng)公司和IDC的接口使用Cisco 7206路由器，在南樓和北樓分別加防火墻，利用這種防范措施相結(jié)合，共同抵制拒絕服務(wù)攻擊。
路由器的部署
為阻止拒絕服務(wù)攻擊，世紀(jì)互聯(lián)將該互聯(lián)網(wǎng)公司原來的2948路由器換為Cisco7206路由器。這種Cisco的72系列路由器的優(yōu)勢在于：能有效執(zhí)行TCP截取和封掉源地址等功能。
TCP截取特性，通過截取和驗證TCP連接請求的合法性來防止SYN的報文洪水。在截取模式下，TCP截取軟件截取從客戶到服務(wù)器并與擴(kuò)展訪問列表匹配的TCP同步(SYN)分組。其中，軟件代表目標(biāo)服務(wù)器與客戶建立連接，以便于客戶與服務(wù)器進(jìn)行連接，并且透明地將兩個半連接結(jié)合起來，使來自不可抵達(dá)主機(jī)的連接請求不能到達(dá)服務(wù)器。同時，在連接期間，軟件繼續(xù)轉(zhuǎn)發(fā)和分組。
如果出現(xiàn)非法請求，軟件在半打開連接上的主動超時功能以及TCP連接請求設(shè)置閥將保護(hù)目標(biāo)服務(wù)器，使其繼續(xù)準(zhǔn)許合法請求。
靈活使用TCP截取建立安全策略，可選擇截取所有請求或只截取來自特定網(wǎng)絡(luò)或目標(biāo)為特定服務(wù)器的請求，也可以配置連接速率和未解決連接數(shù)目的閥值。
采用在監(jiān)視模式下運行TCP截取，與截取模式不同的是，在監(jiān)視模式下，軟件的被動監(jiān)視通過路由器的連接請求，如果在配置的時間內(nèi)沒能建立連接，軟件將干預(yù)并終止該連接請求。
路由器設(shè)置步驟
一旦發(fā)現(xiàn)對給互聯(lián)網(wǎng)公司的拒絕服務(wù)攻擊，世紀(jì)互聯(lián)的安全服務(wù)工程師首先會在監(jiān)控中心檢測到這種攻擊行為，并且會在第一時間通知該互聯(lián)網(wǎng)公司。同時，在授權(quán)的情況下，世紀(jì)互聯(lián)在路由器上的設(shè)置將以如下步驟進(jìn)行：
1、啟用TCP截取；2、設(shè)置TCP截取模式；3、設(shè)置TCP截取刪除模式；4、更改TCP截取定時器；5、更改TCP截取主動閥值；6、監(jiān)控和維護(hù)TCP截取。根據(jù)世紀(jì)互聯(lián)的測試情況，在該互聯(lián)網(wǎng)公司遭受Flood攻擊時，可字7206路由器上做
如下配置：
1、設(shè)置TCP截取模式為watch；2、配置擴(kuò)展IP訪問列表101，截取發(fā)送給受攻擊子網(wǎng)中所有的TCP包；3、設(shè)置TCP截取的定時器時間值；4、可以隨時顯示TCP截取的信息。
防火墻的部署
由于該互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)分布在南樓和北樓兩個物理位置，因此世紀(jì)互聯(lián)分別在兩個2914之前安裝了2臺Netscreen防火墻，均采用透明的工作模式。
Netscreen的策略由世紀(jì)互聯(lián)和該互聯(lián)網(wǎng)公司的技術(shù)人員共同配置，對SYN Flood、Ping Flood、UDP Flood等拒絕服務(wù)攻擊都設(shè)置為阻斷。
綜上所述，世紀(jì)互聯(lián)為該互聯(lián)網(wǎng)公司提供的拒絕服務(wù)攻擊的安全防護(hù)包括可交換機(jī)、防火墻層。通過這層防護(hù)，極大限度地降低了該互聯(lián)網(wǎng)公司所受到的拒絕服務(wù)攻擊的危害。同時，世紀(jì)互聯(lián)提供的入侵檢測服務(wù)，可以為該互聯(lián)網(wǎng)公司提供網(wǎng)絡(luò)違規(guī)的預(yù)警。
應(yīng)用優(yōu)勢
世紀(jì)互聯(lián)為該互聯(lián)網(wǎng)公司定制的整體網(wǎng)絡(luò)安全解決方案的優(yōu)勢在于：在網(wǎng)絡(luò)改動較少的前提下，有效地阻止DDOS的攻擊；同時，由于使用了IDS的服務(wù)，使該互聯(lián)網(wǎng)公司具備預(yù)警的功能，從而能及時根據(jù)網(wǎng)絡(luò)攻擊事件制定緊急響應(yīng)對策，充分體現(xiàn)了經(jīng)濟(jì)性和高效性。 68476636-8002）