防火墙、waf、ips和ddos的部署
2017-12-11 18:02
1476 查看
防火墙、waf、ips和ddos的部署
网上的文抄来抄去,原创和实际案例不多。我针对我公司的部署情况写下几点经验。
1.防火墙在各个区:互联网接入区、生产区、管理区、预生产区、都要进行隔离,架设防火墙。透明模式为佳。
2.waf的部署建设初期可以采用旁路模式,之后采用串接。反向代理模式一般不选。因为后端都有负载均衡服务器,会有反向代理存在,而且牵涉到域名比较麻烦。分开处理。
3.ips可以采取
4.另外还有接入的顺序问题,waf接入靠近web服务器。保证访问web的流量都从waf经过。ddos部署在最前端,如果接在防火墙后面,流量大了直接就把防火墙打死。所以一般顺序是ddos》ips》防火墙。把攻击抵挡在外面,防火墙就不需要处理攻击包,提高性能。
5.因为都利用串接桥设备,所以在部署中,最关键倒是核心交换机必须有,下面的网段都要接入核心交换机,如果没有,将导致不能全面覆盖全网。比如有两台核心交换机的话,就需要两台个网桥。但是如果没有直接连接入路由设备,会导致无处部署。
网上的文抄来抄去,原创和实际案例不多。我针对我公司的部署情况写下几点经验。
1.防火墙在各个区:互联网接入区、生产区、管理区、预生产区、都要进行隔离,架设防火墙。透明模式为佳。
2.waf的部署建设初期可以采用旁路模式,之后采用串接。反向代理模式一般不选。因为后端都有负载均衡服务器,会有反向代理存在,而且牵涉到域名比较麻烦。分开处理。
3.ips可以采取
4.另外还有接入的顺序问题,waf接入靠近web服务器。保证访问web的流量都从waf经过。ddos部署在最前端,如果接在防火墙后面,流量大了直接就把防火墙打死。所以一般顺序是ddos》ips》防火墙。把攻击抵挡在外面,防火墙就不需要处理攻击包,提高性能。
5.因为都利用串接桥设备,所以在部署中,最关键倒是核心交换机必须有,下面的网段都要接入核心交换机,如果没有,将导致不能全面覆盖全网。比如有两台核心交换机的话,就需要两台个网桥。但是如果没有直接连接入路由设备,会导致无处部署。
相关文章推荐
- FW/IDS/IPS/WAF等安全设备部署方式及优缺点
- Exchange部署之:Exchange高级防火墙策略和端口
- 局域网单机部署双tomcat内外网不能访问防火墙问题查出来
- 教你针对DDOS部署有效防御措施
- 防病毒网关、防火墙与防病毒软件功能及部署对比
- nginx+lua 构建waf防火墙
- 部署网络防火墙策略的十六条守则
- 从写项目到部署linux服务器全过程-linux防火墙端口配置篇
- 部署防火墙策略的十六条守则
- 用防火墙防止DDOS分布式拒绝服务攻击
- WAF(Web Appllication Firewall)网络应用防火墙
- Windows 2003 Oracle 部署与防火墙端口开设
- 如何正确地部署防火墙?
- web应用防火墙和网络防火墙、网页防篡改、IPS三者的区别
- DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]
- Windows域环境下部署ISA Server 2006防火墙(三) 推荐
- 如何绕过网站防火墙WAF进一步sql注入
- ISA防火墙之利用DHCP部署WPAD
- 部署防火墙策略的十六条守则