大数据时代计算机信息处理技术研究
             Research on Computer Information Processing Technology in the Era of Big Data


             全域：非安全区，半安全区，安全区和核心安全区。
                 基于每个安全域的安全级别，对非安全域、半安全域（DMZ）、安全域、
             核心安全域设定访问控制关系。
                 安全区访问关系设计完成后，进行安全边界设置。安全边界的目的是通过技

             术手段隔离不同的安全区。
                 安全边界通过防火墙或访问控制列表（ACL）来实现，防火墙和访问控制列
             表（ACL）的在防护能力、性能等方面存在差异，需要考虑针对网络的不同安全
             区域采用不同的隔离手段。安全域体现了企业不同网络间的基本安全关系，在安

             全域的基础上，可以进一步划分安全子域。安全子域能够与网络功能区相对应，
             便于对数据流向做深层控制，同时减少对现有环境的变更。
                 （二）提升 WEB 应用系统入侵防御能力
                 A 公司目前计划将新的 WEB 应用系统部署云端，老的 WEB 系统保留在本

             地数据中心。鉴于此种情况，从两个维度对提升 WEB 应用系统入侵防御能力进
             行优化。
                 一是对部署在数据中心的 WEB 应用系统入侵防御能力进行优化。在 WEB
             服务器所在区域，部署 Web Application Firewall 即 WAF。通过 WAF 内置的

             OWAAP 十大 WEB 攻击安全检测能力，对排名前十位的常见 WEB 攻击进行防御，
             提升入侵检测能力。
                 二是对部署在云端的 WEB 应用系统进行防护：
                 首先，在 WEB 进行域名访问时，在 DNA 端部署防护 DNAFlood 攻击的服务，

             将 DNADDoA 攻击进行缓解，完成第一层次的防护；DNA 解析完成后，将使用
             CDN 服务实现 WEB 应用的快速分发，提升用户访问的体验。
                 其次，在该层次下，CDN 服务集成 DDoA 防护组件和 WAF 组件，进行第
             二层次防护，同时防护 DDoA 攻击和基于 WEB 的常见攻击，如针对数据库的

             AQL 注入攻击、跨站脚本 CAA 攻击及其他网络系统漏洞攻击。在第三层次，使
             用应用负载均衡服务，在应用负载均衡服务之后，部署第三方 WAF 产品，形成
             WAF 集群，再次构建 WEB 攻击防护层，缓解第三层次的攻击。
                 最后，利用负载均衡集成 WAF 服务，配合针对 WEB 服务器的弹性组件，

             对最终的 WEB 服务器进行弹性配置，抵御最后的攻击流量。在该层，针对 WEB
             服务的攻击无论是 DDoA 攻击还是 WEB 攻击，都已经得到了有效的缓解，再配


             ·158·