< 文章详情

我司防火墙+防篡改+VPN构架下主机防护说明

2017/7/17 8140次

桂商科技防火墙+防篡改+VPN构架方案

一、环境配置及说明:





网络拓扑图


具体部网操作为:
1、把网站公网IP:113.12.83.XX配置在硬件防火墙上,防火墙对公网IP仅开通80端口,其它任何端口都关闭。如黑客攻击该网站或IP,所有攻击和扫描,都将应用在防火墙上,而不是服务器上。
2、公网IP地址80端口,映射内网服务器同步端服务器IP:192.168.1.12XX的80端口,用于网站对外访问。(以下简称同步端);
3、 内网发布的服务器:IP设置为:192.168.12,用于网站内网浏览和管理(以下简称发布端服务器);
4、网页防篡改同步端和发布端,分别安装在同步端服务器和发布端服务器。同步端的站点不能发布也不能FTP上传,仅支持从发布端同步信息。
5、同步端服务器和发布端服务器,均部署在内网下,无VPN拨号权限用户,是不能进入到内网资源进行服务器维护及修改的。
6、桂商科技为每个用户,独立配置VPN账号,拨号连接后,才能管理服务器和发布网站信息等;

二、安全性能主要参数

1、硬件配置

防火墙:HTTP最大并发请求数15000;网关最大连接数100万 1U;千兆硬件防火墙;

防篡改:支持同步端和发布端同步,支持备份服务,具备公安部安全产品销售许可。

VPN:支持内网隧道。

2、防御功能

1、可与网页防篡改软件共同组成WEB立体防御体系;

2、防御各种DoS/DDoS攻击;

3、防御SQL注入攻击;

4、防御XSS跨站脚本攻击并报警,提供只报警不过滤阻断功能;

5、自定义阻止下载文件类型;

6、防御内网ARP病毒攻击、支持IP/MAC地址绑定和自动探测;

7、内置入侵检测模块,阻断常见的网络层攻击行为;

8、支持对BBS类型网站提交的POST内容进行关键字过滤;

9、支持数据包内容过滤,URL、文件类型过滤;

3、高可用性支持(可选)

1、支持双机热备;

2、支持链路负载均衡、支持服务器负载均衡功能;