(2)應(yīng)用層防御
在防火墻的后面,加入應(yīng)用層防御的設(shè)備�����,如IPS(Intrusion Prevention System�,入侵防御系統(tǒng))、WAF(Web Application Firewall�����,Web應(yīng)用防火墻)��、UTM(Unified Threat Management���,統(tǒng)一威脅管理)等,對來自外部企業(yè)門戶的網(wǎng)站從應(yīng)用層(包括URL鏈接�����、網(wǎng)頁內(nèi)容等)進行細粒度的過濾和檢測,出現(xiàn)惡意內(nèi)容等及時進行阻斷��。并且���,對于SQL注入攻擊�、緩沖區(qū)溢出攻擊�����、篡改網(wǎng)頁�����、刪除文件等也有很好的抑制和阻斷作用��。
(3)負載均衡
企業(yè)門戶網(wǎng)站系統(tǒng)服務(wù)器側(cè)需要具備負載均衡及負載保護機制��。因為�,系統(tǒng)面臨著巨大的服務(wù)量,服務(wù)器端的設(shè)備基本上都需要有多臺服務(wù)器進行業(yè)務(wù)分擔����,這樣才能提高性能�����,避免處理瓶頸的出現(xiàn)����,因此��,需要采用合理的負載均衡和負載保護機制對各服務(wù)器的業(yè)務(wù)流量進行有效地分擔���,可按照Round Robin���、LRU(Least Recently Used)等方式來進行負載均衡;另外,負載保護機制需要實時地對每臺服務(wù)器的CPU資源����、內(nèi)存資源等進行評估,如果一旦超過設(shè)定的閾值(80%或者以上)����,將馬上進行過載保護,從而保證服務(wù)器自身的安全�����。
通常��,有2種實現(xiàn)方式����。一種是購買成熟的硬件負載均衡產(chǎn)品,如F5等來對網(wǎng)站的流量進行控制和分流�����,以保證后臺各服務(wù)器的流量均衡以及高可用��,不過花費較高;一種是通過使用開源系統(tǒng)軟件LVS(Linux Virtual Server����,Linux虛擬服務(wù)器)、Nginx(Engine X)等負載均衡軟件來構(gòu)建應(yīng)用����,這樣可以節(jié)約一定的資金。
在層次化防御保證企業(yè)門戶網(wǎng)站安全(下)中�����,我們將繼續(xù)介紹方案的其他部分,包括強化用戶訪問控制��,加密通信數(shù)據(jù)�,做好風(fēng)險控制等。
