某互聯網公司作為一個知名的網站，時時都有受到攻擊的威脅。目前該互聯網公司非常大的安全隱患是來自外網的拒絕服務公司(Denial of Service Attacks)，包括以SYN Flood和Ping Flood為主的技術，其主要方式是通過使關鍵系統資源過載，導致網絡或服務器的資源被大量占用，甚至造成網絡或服務器的全面癱瘓。
世紀互聯針對該互聯網公司網絡和業務的實際情況，采用了防火墻、路由器、IDS相結合的辦法，提出了一套以防范拒絕服務攻擊為主的安全服務解決方案。
方案實施
該互聯網公司在遭受拒絕服務攻擊時，單純地使用防火墻并不能進行有效地防護。因此，世紀互聯在部署該互聯網公司防范拒絕服務攻擊的配置時，運用了將防火墻與路由器相結合的方式。
世紀互聯針對該互聯網公司的拒絕服務攻擊的安全解決方法是，在該互聯網公司和IDC的接口使用Cisco 7206路由器，在南樓和北樓分別加防火墻，利用這種防范措施相結合，共同抵制拒絕服務攻擊。
路由器的部署
為阻止拒絕服務攻擊，世紀互聯將該互聯網公司原來的2948路由器換為Cisco7206路由器。這種Cisco的72系列路由器的優勢在于：能有效執行TCP截取和封掉源地址等功能。
TCP截取特性，通過截取和驗證TCP連接請求的合法性來防止SYN的報文洪水。在截取模式下，TCP截取軟件截取從客戶到服務器并與擴展訪問列表匹配的TCP同步(SYN)分組。其中，軟件代表目標服務器與客戶建立連接，以便于客戶與服務器進行連接，并且透明地將兩個半連接結合起來，使來自不可抵達主機的連接請求不能到達服務器。同時，在連接期間，軟件繼續轉發和分組。
如果出現非法請求，軟件在半打開連接上的主動超時功能以及TCP連接請求設置閥將保護目標服務器，使其繼續準許合法請求。
靈活使用TCP截取建立安全策略，可選擇截取所有請求或只截取來自特定網絡或目標為特定服務器的請求，也可以配置連接速率和未解決連接數目的閥值。
采用在監視模式下運行TCP截取，與截取模式不同的是，在監視模式下，軟件的被動監視通過路由器的連接請求，如果在配置的時間內沒能建立連接，軟件將干預并終止該連接請求。
路由器設置步驟
一旦發現對給互聯網公司的拒絕服務攻擊，世紀互聯的安全服務工程師首先會在監控中心檢測到這種攻擊行為，并且會在第一時間通知該互聯網公司。同時，在授權的情況下，世紀互聯在路由器上的設置將以如下步驟進行：
1、啟用TCP截取；2、設置TCP截取模式；3、設置TCP截取刪除模式；4、更改TCP截取定時器；5、更改TCP截取主動閥值；6、監控和維護TCP截取。根據世紀互聯的測試情況，在該互聯網公司遭受Flood攻擊時，可字7206路由器上做
如下配置：
1、設置TCP截取模式為watch；2、配置擴展IP訪問列表101，截取發送給受攻擊子網中所有的TCP包；3、設置TCP截取的定時器時間值；4、可以隨時顯示TCP截取的信息。
防火墻的部署
由于該互聯網公司的網絡分布在南樓和北樓兩個物理位置，因此世紀互聯分別在兩個2914之前安裝了2臺Netscreen防火墻，均采用透明的工作模式。
Netscreen的策略由世紀互聯和該互聯網公司的技術人員共同配置，對SYN Flood、Ping Flood、UDP Flood等拒絕服務攻擊都設置為阻斷。
綜上所述，世紀互聯為該互聯網公司提供的拒絕服務攻擊的安全防護包括可交換機、防火墻層。通過這層防護，極大限度地降低了該互聯網公司所受到的拒絕服務攻擊的危害。同時，世紀互聯提供的入侵檢測服務，可以為該互聯網公司提供網絡違規的預警。
應用優勢
世紀互聯為該互聯網公司定制的整體網絡安全解決方案的優勢在于：在網絡改動較少的前提下，有效地阻止DDOS的攻擊；同時，由于使用了IDS的服務，使該互聯網公司具備預警的功能，從而能及時根據網絡攻擊事件制定緊急響應對策，充分體現了經濟性和高效性。 68476636-8002）