【51CTO.com 獨家特稿】關(guān)于趙明，此人雖然技術(shù)一般，但卻坐到了運營經(jīng)理的位子上，并且一坐就是3年多。幾年前公司初次上線網(wǎng)站服務(wù)器的時候，曾經(jīng)找過A公司，做了一套網(wǎng)站硬件布局的設(shè)計和實施。以三年前的眼光來看，這套方案還算是具有一定的前瞻性。不過時隔今日，黑客的攻擊手法復(fù)雜多樣，三年前的純爺們，現(xiàn)在也只能變成純老頭了。

趙明的關(guān)系很硬，依稀說來和高層領(lǐng)導(dǎo)是有些牽連的，畢竟今年兩個月之間，被客服部投訴了9次，位置依然做的很牢靠。然而一次又一次的網(wǎng)站業(yè)務(wù)停止，他的后臺也有些罩不住了，所以才透過運營總監(jiān)的口，讓他盡快拿出一個成熟方案來。上班總是聽歌看電影，這種日子也該到頭了。趙明就算拍桌子耍臉，那也是沒用的了。

趙明技術(shù)一般，但不代表不懂技術(shù)，然而說太高深的，也別指望他能明白。所以這次我拿出的方案還是以硬件產(chǎn)品為主，用Linux搭建的各類方案直接放棄，盡管成本上可以做到精確控制，然而搭建和維護(hù)絕對不是趙明一個人能完成的。更別提他要清晰的把這個方案復(fù)述給自己的領(lǐng)導(dǎo)了。

趙明有些感嘆，這么快運營總監(jiān)就爬到自己頭上來了，還敢義正言辭的說什么“后果自負(fù)”。今天要再不撒出殺手锏，肯定要被雪藏了。

然而在我看來，趙明以運維經(jīng)理的頭銜就這樣以下犯上的爬在黃曉明頭上多年，黃曉明都隱忍不發(fā)，其他他才是該感慨的那個。

閑話少說，既然趙明許了我少許好處費，那么今天加班加點也要把方案出給他！

趙明這種人國內(nèi)其實非常多，對技術(shù)有一定了解，但不是精通，然后通過關(guān)系爬到了CTO或者CIO的位置，偏偏這個位置還牢固的很，其他人還不能把他踹下去。當(dāng)然，作為他手下的小弟，想要自己做出成績把頭頂下去是不切實際的。真正的做法是，幫助趙明，做好這個案例，讓他升職，空出這個職位。

架構(gòu)分析

趙明現(xiàn)在遇到的問題是網(wǎng)站頻繁被篡改，然而被黑的背后總是有著黑客入侵的事實。趙明急于解決問題，所以要求方案所提到的設(shè)備能夠做到快速部署，快速應(yīng)用，以及從架構(gòu)上來看，監(jiān)控機起著對流量進(jìn)行分析的作用。不過趙明在復(fù)述問題的時候，并沒有說明監(jiān)控機在事后對他起到什么作用。所以這個架構(gòu)要有所變動，畢竟兩臺網(wǎng)站服務(wù)器僅僅通過負(fù)載均衡，直接就接入了互聯(lián)網(wǎng)。

更改拓?fù)鋱D如下：  

增加了一臺防火墻，一臺Websense的DLP設(shè)備，將原交換機換成華為的一臺3層交換機。至于那臺監(jiān)控機？因為實在不了解它到底對趙明貢獻(xiàn)了多少價值，所以暫時還是原樣接著的，但我已經(jīng)不指望它了，畢竟這種旁路接入的方式，不管監(jiān)控是否運行，都不會對網(wǎng)絡(luò)造成什么影響。

整套設(shè)備的接入方式為：外網(wǎng)→路由器→防火墻→DLP→負(fù)載均衡服務(wù)器→后面結(jié)構(gòu)不動。

交換機

從原始拓?fù)鋱D來看，趙明公司的各類服務(wù)器應(yīng)該是在自己的公司內(nèi)部，畢竟7臺服務(wù)器，每年光托管的費用都相當(dāng)高昂。以服務(wù)器安裝在公司內(nèi)部做假定，那么就需要考慮內(nèi)網(wǎng)重要信息的泄露對服務(wù)器的影響了。

這次做的第一件事就是換了一臺華為的s5500三層交換機，目的就是劃分VLAN，以及依靠它的數(shù)據(jù)高吞吐量，將機柜里頭的公有業(yè)務(wù)和私有業(yè)務(wù)劃分開來。網(wǎng)站的流量出口單獨走一個VLAN；員工上網(wǎng)走另一個。同時對兩端的業(yè)務(wù)都使用DLP進(jìn)行內(nèi)容監(jiān)控（線路接法為從DLP引出一個接口，流向內(nèi)部網(wǎng)絡(luò)。自此，內(nèi)部網(wǎng)絡(luò)訪問網(wǎng)站服務(wù)器群，也需要經(jīng)過DLP規(guī)則和防火墻規(guī)則，同時內(nèi)網(wǎng)在DLP的保護(hù)和監(jiān)控之下。）

由于并不知道網(wǎng)站頻繁被改是因為服務(wù)器的原因還是公司內(nèi)部員工的泄露，所以兩方面都做準(zhǔn)備才好分析出故障所在。

防火墻

防火墻作為企業(yè)信息安全的第一道屏障，作用已經(jīng)日漸式微，這并不是說它一點用處沒有。而是單純的防火墻功能已經(jīng)被其他的設(shè)備所涵蓋了。諸如路由器、IDS、IPS、這些都或多或少有一些防火墻的功能。然而這并不意味著單獨的防火墻就沒有市場了。

本案例采用思科的ASA5510-BUN-K9 VPN防火墻，當(dāng)然，采用5520也是可以的，與前者的區(qū)別僅在于并發(fā)數(shù)的不同。后者的報價大概是前者的1.5倍。通過接入防火墻，我們可以進(jìn)行常規(guī)的網(wǎng)絡(luò)防護(hù)，諸如ACL控制、DMZ劃分等等。同時這款防火墻也支持UTM（統(tǒng)一威脅管理）。可能很多人覺得思科的設(shè)備配置起來非常麻煩，寫配置文件要寫很多。事實上使用終端連接到思科防火墻上，我們使用復(fù)制黏貼的方法，可以快速的將配置語句寫入。調(diào)試起來還是非?？斓模⑶椰F(xiàn)在思科也都在自己的產(chǎn)品上配置了WEB界面，操作起來也很簡單。

DLP  

數(shù)據(jù)泄露防護(hù)（Data leakage prevention, DLP），又稱為“數(shù)據(jù)丟失防御”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防御”(Information leakage prevention, ILP)。數(shù)據(jù)泄漏防護(hù)是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)

所謂DLP，說白了就是對內(nèi)網(wǎng)進(jìn)行關(guān)鍵字過濾，應(yīng)用的效果很廣泛，如我們在MSN說一句話，包含了“合同”兩個字，那么可能你的桌面上會跳出一個提醒：“您所交流的語句包含關(guān)鍵字，系統(tǒng)已經(jīng)開始對其進(jìn)行記錄?！?；或者比如我是華為的員工，登錄了思科的網(wǎng)站，系統(tǒng)會彈出一句話“您正在訪問競爭對手的網(wǎng)站，人力資源將會對您的行為記錄在案。”等等等等，這種基于內(nèi)容的監(jiān)控和管理就是DLP的實施場景。

DLP不光可以監(jiān)控，同樣可以控制，如上面的場景，它可以不彈出提示，直接關(guān)閉你的聊天窗口，或者斷網(wǎng)幾分鐘以作懲罰。

像使用迅雷大流量下載，上班看電影等行為，都可以進(jìn)行有效的監(jiān)管。

高級一點的，可以對某些蠕蟲病毒的傳播特征進(jìn)行限制?；蛘呔W(wǎng)頁提交格式進(jìn)行限制。如禁止內(nèi)外網(wǎng)提交類似' or '' = ' ' or 1=1;這種東西。當(dāng)然規(guī)則有多嚴(yán)格，就看制度編寫的如何了。

DLP的實施功能是非常強大的，同時操作也很容易，但它更需要企業(yè)內(nèi)部員工的配合，趙明的執(zhí)行力是毋庸置疑的，所以推薦DLP一定會讓他很滿意。

網(wǎng)站

趙明的網(wǎng)站頻繁被篡改，要說服務(wù)器本身沒有問題，這是在是很難有說服力。所以服務(wù)器方面也需要進(jìn)行一定的整改。不過為了簡便實施和介紹，操作方式也被嚴(yán)格限定在以下幾個方面。

1、 服務(wù)器操作系統(tǒng)安全。打完所有補丁，這個很容易實施，但是效果很明顯，可以免疫為數(shù)不少的蠕蟲和0day

2、 服務(wù)器權(quán)限修改，包含數(shù)據(jù)庫的權(quán)限修改。方向就是給訪客最低的權(quán)限，同時將訪問者控制在自己的目錄中，具體操作較為復(fù)雜，實施可以外包。

3、 網(wǎng)站腳本內(nèi)容檢查。這部分可以單獨交給安全公司來做，我向趙明推薦了我們自己的公司。

總結(jié)：

總體的整改方向就是內(nèi)網(wǎng)+外網(wǎng)安全防護(hù)和監(jiān)控，同時對網(wǎng)站服務(wù)器本身進(jìn)行檢查。后期還可以對內(nèi)部網(wǎng)絡(luò)進(jìn)行行政制度的限制和整改，效果會更好。