【拯救趙明】通過網路改造拯救趙明
阿新 • • 發佈:2020-10-20
通過文章說明趙明遇到的主要問題如下:
網站被***,公司網路斷網,
目前主要裝置:
其中包含:負載均衡器 1個,Web伺服器 2個(一主一備),檔案伺服器 1個,監控機(只記錄日誌) 1個,資料庫 2個,交換機 1個。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
根據以上要求方案分為土狼派解決方案,學院派解決方案,商務派解決方案,土狼版的方案自然有土狼的精神,問題出在哪裡就要在哪裡解決,以解決問題為主。學院
版,就是從學術傳統解決方案出發,來完成解決方案。商務派的方案就是聯絡到錢上來看問題。 
該方案的主要目的: 
網路改造後情況
改造後主要增加的裝置
根據方案可以看到,我們可能還需要購買兩個防火牆,IPS,交換機。下面詳細說明防火牆和交換機選擇的目的,主要的應用。
防火牆配置及選擇:
把公司WEB相關伺服器都交給專業的人。比如比較大運營商來做,把自己公司網路做好就好了。因為,看錄影瞭解,公司就趙明一個人,而且也沒有專門的制度來管理。如果想針對公司業務進行IT相關管理,專業的人員的費用也很高,而且很可能讓公司買很多裝置。但是,如果說讓專業的人來做專業的事情就好很多。所以選擇服務託管方式,或者就用信用好的運營商哪裡租用伺服器。所以不用對網路進行大量改造。只要把服務給託管就好了。
以上是我想到的主要方案,我本人很實在,方法全部是從使用者角度來說。為了避免被人說成軟文,所以沒有推薦任何網路裝置。
其中包含:負載均衡器 1個,Web伺服器 2個(一主一備),檔案伺服器 1個,監控機(只記錄日誌) 1個,資料庫 2個,交換機 1個。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
根據以上要求方案分為土狼派解決方案,學院派解決方案,商務派解決方案,土狼版的方案自然有土狼的精神,問題出在哪裡就要在哪裡解決,以解決問題為主。學院
版,就是從學術傳統解決方案出發,來完成解決方案。商務派的方案就是聯絡到錢上來看問題。根據網路圖可以說明,趙明的公司不大,所以讓趙明公司做到把問題解決,就要在花錢少的情況下,完成公司的基本要求。在成本要求嚴格的情況下完成。具體方案如下。
該方案的主要目的:1, 區分辦公網路和伺服器網路 通過趙明遇到問題,說明辦公網路和服務網路都會出現問題。所以,我們要把它們區分開,遇到問題分別對待。應用交換機進行分隔。 2, 加強安全防護 公司有這麼多公司級伺服器,所以一定要在出口放一個防火牆。防火牆兩個主要功能第一,防止******。第二,將內部網路與外部網路分隔開來。 具體方案: 根據方案可以看到,我們可能還需要購買防火牆,核心交換機。下面詳細說明防火牆和交換機選擇的目的,主要的應用。
1, 劃分Untrust區和trust區,整合安全策略,將網際網路設外untrust區 公司內網設為trust區。 2, 流量分析控制,將服務劃分為固定IP,將辦公員工劃分為DHCP指定地址。基於IP地址的控制。檢視每個IP地址介面,流量,主要應用協議等。 3, 審計報警,資料分析完成後,進行接受,拒絕,丟棄等應用。 4, NAT配置,主要對伺服器進行鍼對性的配置。給伺服器相應出口。 5, 防火牆防範常見的***ARP,DDOS,IP衝突,掛馬等。 防火牆的選擇: 防火牆要有流量控制,審計報警等功能。所以請選擇防火牆除了頻寬可以足夠應用之外,最好是第三代防火牆。 核心交換機配置及選擇:
1. 劃分VLAN ,伺服器VLAN,員工VLAN網段。對該兩部分割槽進行區分。也為以後方便管理。 2. ACL應用, a) 財務人員,行政人員,開發人員 不可以訪問伺服器,防火牆,交換機等 b) IT 人員 可以訪問伺服器,防火牆,交換機等 c) 除財務人員外,其它人員不可以訪問財務部門 3 生成樹 配置生成樹,保證網路在有環路也可以正常執行。 核心交換機比較重要,所以沒能讓防火牆做ACL就是希望核心交換機承擔更重一些的負擔。現在的防火牆很多的時候,真的不如核心交換機讓人放心,這只是個人心得。 4 DHCP 員工上網的IP地址要根據使用者所在部分進行劃分。但伺服器要指定IP地址。 核心交換機的選擇
現在核心交換機(三層交換機)的功能也很多。但要注意以下幾點。 擴充套件能力:採用模組化結構,必須擁有相當數量的插槽。以適應公司發展變化的網路需求。以可以進行模組冗餘。 效能引數:在該設計方案中,對核心工作比較重要,所以根據公司日常流量來選擇。 三層交換:核心一定要是三層交換,如果要為四層交換有更多的花錢,我以為沒有必要,因為我們選擇了第三代防火牆。 還有一些功能,比如QoS,安全效能。可能不是必要的,因為部分可以在防火牆應用。 學院派解決方案
學院派就是要按照傳統方法進行,按傳統方法的劃分就是從哪裡區分哪就放防火牆。如果網路比較大就要放防火牆和路由器。但是,我本人太不喜歡用路由器了。因為一些基本的路由,核心就可以完成。如果路由器都是靜態路由還好。如果都是動態路由,debug時候太困難了。 該方案的主要目的: 將安排DMZ區,將網路分為Internet區,Web伺服器區,員工網路區,公司級應用伺服器級區。其中員工網路區和公司級應用先放在一起,這裡就不多說了。 按照傳統理論將網路區分通常要用防火牆,按照傳統術方法,需要應用兩個防火牆。將WEB相關伺服器放在DMZ區,DMZ區伺服器到Internet策略相對寬鬆。對公司伺服器應該放在相對安全的環境下。所以放在公司網內中。
網路改造後情況
改造後主要增加的裝置
根據方案可以看到,我們可能還需要購買兩個防火牆,IPS,交換機。下面詳細說明防火牆和交換機選擇的目的,主要的應用。
防火牆配置及選擇:從Internet到公司的第一個防火牆很重要,所以要有以下的功能。 A 劃分Untrust區和trust區,將網際網路設為untrust區 公司DM\Z為trust區。 B 流量分析控制,該防火牆作為一個總出口。所以一定要有流量分析。瞭解公司內網使用者的主要行為。 C 審計報警,資料分析完成後,進行接受,拒絕,丟棄等應用。 D NAT配置,主要對伺服器進行鍼對性的配置。WEB伺服器相對應的出口。 E防火牆防範常見的***ARP,DDOS,IP衝突,掛馬等。主要防止外部的***。 從DMZ區到公司內網的防火牆就要求就不用太高了。只要可以做簡單的Policy就可以了。 防火牆配置及選擇: A 劃分Untrust區和trust區,將WEB伺服器設為untrust區 公司內網設為trust區 B審計報警,資料分析完成後,進行接受,拒絕,丟棄等應用。 C防火牆防範常見的***ARP, IP衝突等。常見內部問題。 交換機配置及選擇:
交換機主要起到與伺服器的連線的功能,所以不需要有太多的功能,只要質量好一點就Ok了。 但是希望圖中原有的機器有以下功能。為了員工網路的安全。 1,劃分VLAN ,伺服器VLAN,員工VLAN網段。對該兩部分割槽進行區分。也為以後方便管理。 2,ACL應用, a) 財務人員,行政人員,開發人員 不可以訪問伺服器,防火牆,交換機等 b) IT 人員 可以訪問伺服器,防火牆,交換機等 c) 除財務人員外,其它人員不可以訪問財務部門 3 生成樹 配置生成樹,保證網路在有環路也可以正常執行。 核心交換機比較重要,所以沒能讓防火牆做ACL就是希望核心交換機承擔更重一些的負擔。現在的防火牆很多的時候,真的不如核心交換機讓人放心,這只是個人心得。 4 DHCP 員工上網的IP地址要根據使用者所在部分進行劃分。但伺服器要指定IP地址。 IPS配置及選擇:
因看到WEB應用出現了問題所以,WEB常常出現的問題就是掛馬,篡改WEB資訊。有不少防火牆是有網站安全解決方案。但是,為了更加安全,萬無一失傳統方案會對症下藥。這個樣子就比較安心了。網站伺服器還是主動的好一些。IPS就比較好一點。 商務派解決方案:
商務派解決方案,一切從錢考慮。從錢考慮就要想到另一個方案。如圖:
把公司WEB相關伺服器都交給專業的人。比如比較大運營商來做,把自己公司網路做好就好了。因為,看錄影瞭解,公司就趙明一個人,而且也沒有專門的制度來管理。如果想針對公司業務進行IT相關管理,專業的人員的費用也很高,而且很可能讓公司買很多裝置。但是,如果說讓專業的人來做專業的事情就好很多。所以選擇服務託管方式,或者就用信用好的運營商哪裡租用伺服器。所以不用對網路進行大量改造。只要把服務給託管就好了。
以上是我想到的主要方案,我本人很實在,方法全部是從使用者角度來說。為了避免被人說成軟文,所以沒有推薦任何網路裝置。