三、 网络拓扑及要点剖析

　　1、 网络拓扑

　　方案的网络拓扑如下所示：

　　2、部署要点解析

　　(1)防火墙的设置

　　图中所示防火墙的设置原则如下：

　　采用外部和内外防火墙双重设置，以切实保障外部流量进入HTTP反向代理服务器(DMZ区域)和内部网络前均通过安全检测;

　　内部和外部防火墙的使用应尽量采取不同厂家和不同型号的防火墙设备，以提高防火墙的防护性能。

　　(2)HTTP反向代理服务器的设置

　　通过设置反向代理服务器，可以起到如下安全防护作用：

　　隐藏内部Web服务器的IP地址，外部用户根本感觉不到反向代理服务器的存在，极大地降低网络内部Web服务器被攻击的风险和概率;

　　反向代理服务器可以缓存内部Web服务器的部分数据，可以减轻内部服务器的负载压力，提升服务质量;

　　作为一个堡垒主机，即算反向代理务器遭受攻击，由于内外部防火墙的设置，也不会影响到内部的网络服务器安全。

　　(3)IPS的设置

　　使用上述方法设置IPS，可以起到如下安全防护和异常阻断作用：

　　对从反向代理服务器流向内部的流量和请求在内部的入口端进行过滤，成为防火墙后的第二层防护点，从源头保证内部安全;

　　对内网的异常状况可以进行实时的检测，即算有威胁和异常源自内部而对服务器发生破坏作用，如篡改网页、删除文件等，也能进行有效地监控、审计和记录，从而保证内网安全。

　　四、 主要安全产品选型

　　由于赵明目前主要需要解决的是入侵防护问题，因此下面主要给出与其相关的IPS和漏洞扫描的安全产品选型，其他的如存储备份设备、防火墙设备的选型可以根据企业的实际情况进行选择使用，本方案不作过多推荐和描述。

　　1、绿盟网络入侵防护系统 IPS

　　绿盟网络入侵防护系统 (NSFOCUS Network Intrusion Prevention System，简称：NSFOCUS NIPS) 是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。绿盟网络入侵防护系统是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。

　　入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

　　Web威胁防护：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。

　　流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

　　用户上网行为监管：全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

　　2、绿盟远程安全评估系统

　　每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。

　　寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。

　　绿盟远程安全评估系统 (NSFOCUS Remote Security Assessment System， 简称：NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，其主要特点为：

　　依托专业的NSFOCUS安全研究团队，综合运用信息重整化(NSIP)等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞;

　　针对网络资产的安全漏洞进行详细分析，采用权威的风险评估模型量化风险，提供专业的解决方案;

　　融合Open VM(Open Vulnerability Management)开放漏洞管理工作流程，提供真正有效的漏洞管理解决方案;为降低企业的安全风险提供强有力的保障。