深层防御DDoS攻击 服务器综合利用

综合利用

从供应商架构中的DDoS减弱方法，用于网络维护的防火墙和入侵防御(IPS技术，再到用于应用层保护的Web应用防火墙，还有用于维护文件系统完整性的内容完整性监控系统(CIMS最后是为各种平安和服务器组件提供日志信息的日志管理系统(LMS不过，要想拥有一个可以实时监测平安威胁并具备安全适应性的平台，恐怕还任重而道远。

这种防御机制下，深层防御是指用一系列防御机制保护电脑。如果其中一个失效，那么其他维护方法还可以发挥作用。偏重实用的深层防御安排案例，例证整合了现有的技术和高效的综合型企业网络安全架构。

环境

让我先考虑下面这个常见的企业IT装置情境。许多企业出于不同的原因使用第三方托管架构服务。通过外部托管，为了说明如何安排深层防御。企业有能力利用保守空间或能源模式在托管服务供应商租借一个安全的环境，同时又可以对系统进行自主管理，或者他也可以从供应商那里购买托管服务，这其中包括网络，系统和安全服务。这些环境旨在托管企业中可被公众访问的系统，其范围涉及邮件，公司用户文件传输服务，企业电子商务平台。

平安都在环境设计中扮演着重要的角色。设计此类环境平安的一种典型方法是利用网络。这样讨论的目的于让我设想企业将自己的电子商务平台托管到这样的环境中。电子商务平台包括Web层级，不管是租借的还是托管型部署。这些层级就好像是各种交易的传输工具或支付网关一样。中间件和数据库层级起支持作用。这样的设计要求把每个层级都托管到合适的网络，也就是虚拟局域网或VLAN用过滤设备，如在平安性较低的界面使用带有Web服务器的防火墙等，便可以完成这一任务。而中间件和数据库层级要托管到平安性较高的界面。而且不能从公共网络直接访问中间件和数据库层级。某些设计情境中，中间件和数据库层级位于相同的防火墙界面之后，只不过位于不同VLAN上。此类情境中，两个层级之间不存在流量过滤，除非交换机强制要求进行过滤。

这类案例中的防火墙就好像是防御互联网威胁的最基本屏障。会将这样的环境作为安排深层防御战略(使用现有平安技术)基线。

切实可行的深层防御

可以依照不同企业的具体需求分别对待。笔者想到一个为上述环境安排平安安排平安方案的好方法。

第二个组件主要通过已知的流量行为来减轻攻击(例如，深层防御的第一步是供应商网络架构中的企业环境外强制部署。该技术组件主要负责维护环境免受分布式DDoS攻击。DDoS攻击缓解技术一般包括两个组件：第一个组件主要通过监控普通流量中的异常行为来检测攻击。威胁管理系统或TMS

因此可以减少链接饱和的风险和增加的带宽本钱。DDoS维护通过边境网关协议(从中心路由设备到DDoS清理中心)实现瞬时的流量分离。最有效的DDoS减缓时通过供应商的架构实现。

但是托管环境中，防火墙可以有效阻挡特定网络威胁。端口对互联网敞开HTTP80/TCP和HTTPS443/TCP其有效性受到局限。这样的环境中，最好是用Web应用防火墙设备来增大防火墙。

如跨站点脚本攻击，Web应用防火墙主要被用来保护环境免受针对应用的攻击。SQL注入和参数篡改等。这些设备都是通过托管环境中，防火墙和核心网络交换机之间的物理连接来配置。一个Web应用防火墙就像是一个桥接设备，可以在应用层拦截那些与已知攻击向量流量的特征相符合的数据流。当硬件启动失效的时候，也不能被打开，所以它能确保流量继续流向Web服务器。一些Web应用防火墙供应商也提供数据库的监控和保护服务，这些服务可以掌控通向数据库的威胁。维护是通过代理强制安排，而代理通常被安装在托管数据库的服务器上。

因此它对以网络为中心的攻击不能进行有效拦截如互联网蠕虫。一个Web应用防火墙可用来配合入侵防御系统，由于Web应用防火墙一般关注的都是发生在应用层的攻。后者主要是对网络层上完成基于签名的修复。这些设备在内联容量中整合了防火墙，而它离开防火墙的同时会拦截威胁，因此可作为模块使用。

对于有效地深层防御而言，随着我进一步接近服务器平台。抵抗恶意威胁和监控文件系统的任务显得尤为重要。可以结合主流反病毒/反恶意软件和内容完整性监控系统来实现这一任务，其中内容完整性监控系统可以实时追踪文件系统发生的更改，并发出警告。

该系统就好像是单独平安组件的日志存取器。除了可以用作保守服务器的日志存取器，将所有的尝试结合在一起就可以实现集中式日志管理系统。一个日志管理系统还可以在预置的事件过滤器上生成实时警告。而且，还能为各种安全组件的日志数据提供灵活的搜索界面。另一类名为安全信息和事件管理的系统，则在日志管理中具备根。可被用来代替日志管理系统。平安信息和事件管理系统扩展了日志管理系统的功能，因为它还可以提供智能的威胁分析与减弱威胁的功能

文章转自www.blddos.com ddos攻击器