一、 安全需求
xx信息网络是北京某政府部门在Internet上对社会提供北京市所属的二十多万个企业的服务信息。其信息的权威性、准确性和完整性都非常重要。目前已发生了"黑客"攻击xx网站的事件,因此,为xx信息网络配置安全防护系统迫在眉睫。xx信息网络的安全需求如下:
1、 Web页面的保护,防止"黑客"更改Web页面的内容。
2、 具有一定的阻断攻击网络的能力,防止常规地攻击行为。
3、 Web服务器具有抗毁能力,防止系统被攻击后整体瘫痪。
4、 对数据库系统的保护能力,对其访问应具有鉴别和审计能力。
5、 增加对普通用户和VIP用户的访问授权控制。
二、系统功能
1、负载均衡功能
初期建设的网站由于还未为用户所认识以及信息资源的量和内容还没达到规模,往往一类内容只配置单一的WWW服务器,随着网站的发展,信息资源不断地丰富和扩大,加大了网站的访问量。由于Internet上的应用都是三层结构,大量的费工费时的计算、查询、动态超文本生成都是靠WWW服务器来实现的,WWW服务器的速度就是Internet网络速度的"瓶颈"。单一的WWW服务器是绝对不能适应ISP/ICP需求的。为提高WWW服务器服务能力,目前中大型ISP/ICP均采用负载均衡的先进技术来提高网站的访问性能。
Internet负载均衡器本身就是一个重要的Internet网络产品。事实上,全世界就有很多厂商能提供负载平衡器产品,而且各家厂商所依据的原理和负载算法又大不一样。如很多厂商就用域名服务器方法来实现负载平衡,其原理:当客户键入某域名后,由DNS服务器根据一定的负载平衡算法,产生不同的IP地址,从而对应不同的WWW服务器。该法简单实用,但不安全,占用IP资源,不利于内部管理,不支持直接的IP访问。平衡算法很难做到精确,不适合一般的中国ISP。 一般来讲,网上信息的安全交流应实现:
网络负载均衡技术提供的负载平衡无论在实现机制和平衡算法都有突破。网络负载均衡技术只需要一个IP资源就可以产生任意多个虚拟的IP服务器。并能使它们协调一致工作。不同的用户访问到不同的WWW服务器,从而使得多个WWW服务器并行地同时为Internet用户服务,从而在根本上改变了ISP商的Internet网络服务环境和大大地提高速度。
2、防火墙功能
防火墙的主要功能分为四大部分:
1) 外网到内网的访问控制,即通常所说的一般防火墙功能;
2) 内网到外网的访问控制,即proxy;
3) 配置、日志查询和计费功能。
3、Web页面监控防护
实时检测篡改
网页监控系统作为后台程序执行,对网页文件进行签名运算,并与原有的签名结果进行比较,一旦发现两种签名不一致,立即采取用户指定的措施加以处理。用户可以指定对网页文件进行检查的时间间隔(最短为间隔0秒),以调整对网页的保护强度和对访问Web的性能影响。
实时恢复网页和告警
发现网页文件被篡改后,网页监控系统可以根据用户意图,自动将备份文件复制到被篡改的文件,并执行用户的外壳程序,该程序可以向管理人员发送邮件,或使用声音图像等方式报告篡改事件。
记录篡改和恢复
网页监控系统详细记录被篡改文件信息和篡改发生的时间,管理人员可以根据此信息确定进一步防范措施。
