【51CTO.com 獨(dú)家特稿】在“拯救網(wǎng)站運(yùn)維經(jīng)理趙明活動”開始后，李洋為我們投來了多層防御的一個解決方案。

越來越多的網(wǎng)站面臨著趙明所運(yùn)維的Web網(wǎng)站系統(tǒng)的安全威脅和問題，當(dāng)前許多的解決方案更多的依賴于單一的技術(shù)或者設(shè)備來機(jī)械式地進(jìn)行疊加的防護(hù)。其實(shí)，針對該問題的解決方案從安全的本質(zhì)來說，需要從安全原則及其實(shí)現(xiàn)的技術(shù)和網(wǎng)絡(luò)拓?fù)鋪磉M(jìn)行“標(biāo)本兼治”，方能從根本上救得了趙明，從此以后高枕無憂，將黑客“拒之門外”。因此，本方案首先對趙明運(yùn)維的系統(tǒng)進(jìn)行詳細(xì)的安全分析，給出安全風(fēng)險，然后給出相應(yīng)的解決方案的原則和技術(shù)，并根據(jù)原則來提供具體實(shí)施的網(wǎng)絡(luò)拓?fù)浜筒渴鹨c(diǎn)，在最后給出了具體實(shí)施所采用的主要安全產(chǎn)品選型，希望給趙明和廣大的網(wǎng)絡(luò)管理員提供參考。

一、 Web系統(tǒng)風(fēng)險分析

從風(fēng)險發(fā)生的位置來看，趙明所運(yùn)維的Web網(wǎng)站系統(tǒng)主要面臨如下兩類安全風(fēng)險：

1、用戶側(cè)和傳輸網(wǎng)絡(luò)側(cè)

a) 惡意用戶采用黑客工具構(gòu)造惡意報文對暴露在公網(wǎng)的網(wǎng)上系統(tǒng)進(jìn)行拒絕服務(wù)攻擊

b) 惡意用戶通過Web瀏覽器的登陸界面對合法用戶的用戶名和密碼進(jìn)行猜測，從而冒充合法用戶進(jìn)行網(wǎng)頁訪問和系統(tǒng)使用

c) 惡意用戶通過構(gòu)造非法的、可能被網(wǎng)上系統(tǒng)錯誤識別和執(zhí)行的代碼嵌入在提交的表單中，引起不正常的信息泄露，甚至系統(tǒng)崩潰

d) 惡意用戶可能在傳輸網(wǎng)絡(luò)中通過非法竊取合法用戶的通信報文，從而獲得本不應(yīng)該獲得的敏感信息

e) 用戶被引導(dǎo)進(jìn)入其他的非法網(wǎng)站，如現(xiàn)在流行的釣魚網(wǎng)站（phishing）等等，從而在不知情的情況下泄露個人機(jī)密信息，造成經(jīng)濟(jì)損失

2、系統(tǒng)服務(wù)器側(cè)

a) 面臨來自用戶側(cè)的拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊

b) 面臨在遭受攻擊后，由于服務(wù)器側(cè)網(wǎng)絡(luò)架構(gòu)劃分和隔離措施不嚴(yán)謹(jǐn)，可能造成“雪崩效應(yīng)”，整個服務(wù)器機(jī)群的癱瘓，比如，由于Web服務(wù)器癱瘓，導(dǎo)致后臺數(shù)據(jù)庫服務(wù)器、管理服務(wù)器等的連鎖癱瘓

c) 面臨由于服務(wù)器側(cè)的軟件實(shí)現(xiàn)不合理，尤其是數(shù)據(jù)庫權(quán)限和視圖等的不合理，導(dǎo)致用戶的錯誤或者非法輸入引起機(jī)密信息泄露或者是遭受SQL injection攻擊等

d) 面臨在服務(wù)器遭受攻擊后，沒有相應(yīng)的備服務(wù)器接管服務(wù)，造成服務(wù)終端，引起用戶業(yè)務(wù)體驗(yàn)嚴(yán)重受損

e) 面臨在服務(wù)器遭受攻擊后，沒有健全的災(zāi)難備份和恢復(fù)措施對關(guān)鍵的業(yè)務(wù)數(shù)據(jù)及其業(yè)務(wù)進(jìn)行恢復(fù)

二、 方案的原則和思路

依據(jù)網(wǎng)絡(luò)安全領(lǐng)域最為流行的4A（認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計(jì)Audit）、P2DR模型（策略Policy、保護(hù)Protection、監(jiān)測Detection、反應(yīng)Response）及ISO等主流標(biāo)準(zhǔn)的要求，并結(jié)合趙明Web系統(tǒng)的應(yīng)用需求，切實(shí)保證趙明運(yùn)維的網(wǎng)站能夠從根本上解決黑客攻擊防御和事后的審計(jì)和追蹤問題，并特別強(qiáng)調(diào)網(wǎng)站的安全設(shè)計(jì)和防護(hù)原則從天生上就有應(yīng)對黑客攻擊的“免疫力”，所以從五大方面進(jìn)行考慮：

1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：合理的拓?fù)浣Y(jié)構(gòu)能夠有效地抑制黑客攻擊，即便在黑客攻擊后也能使得攻擊的影響降低到最小程度；

2. 安全原則：用戶認(rèn)證、帳號管理、加密傳輸?shù)仍瓌t的綜合部署和使用，能從根本上多層面地增強(qiáng)網(wǎng)站的健壯性，數(shù)據(jù)的完整性和可靠性，從而保證網(wǎng)絡(luò)和信息安全；

3. 審計(jì)和追蹤：強(qiáng)大和適時的審計(jì)和追蹤，能夠使得網(wǎng)站的防御體系能夠盡快地從黑客攻擊中解脫出來，完成對黑客的追蹤，并通過相應(yīng)手段來增強(qiáng)網(wǎng)站的抗攻擊性；

4. 備份和災(zāi)難恢復(fù)：能夠保證在黑客攻擊以及自然災(zāi)害下，網(wǎng)站系統(tǒng)運(yùn)維的365*24*7（小時）不間斷地業(yè)務(wù)運(yùn)行；

5. 自我漏洞挖掘及防護(hù)：能夠周期性、自發(fā)地對Web系統(tǒng)的漏洞進(jìn)行自我挖掘，并根據(jù)挖掘的漏洞通過各種安全機(jī)制和補(bǔ)丁等方式進(jìn)行防護(hù)，以有效地避免“零日攻擊”等。

根據(jù)上述原則，建議從如下10個方面進(jìn)行方案制定：

1. Web系統(tǒng)用戶的身份認(rèn)證和鑒權(quán)機(jī)制：

a) 采用用戶名+密碼驗(yàn)證，確認(rèn)用戶登錄身份，并根據(jù)數(shù)據(jù)庫中預(yù)設(shè)的權(quán)限，向用戶展示相應(yīng)的視圖和表單

b) 對于重要的Web系統(tǒng)應(yīng)用，需要根據(jù)PKI機(jī)制，驗(yàn)證用戶提供的證書，從而對用戶身份認(rèn)證（服務(wù)器對客戶端認(rèn)證），并確保交易的不可抵賴性。證書的提供可以采用兩種方式：

i. 文件證書：保存在用戶磁盤和文件系統(tǒng)上，有一定的安全風(fēng)險，但是可以免費(fèi)

ii. USB設(shè)備存儲的證書：保存在USB設(shè)備上，安全性很高，但是目前使用一般需要對用戶收費(fèi)

2. Web系統(tǒng)數(shù)據(jù)的加密傳輸和用戶對Web系統(tǒng)服務(wù)器的驗(yàn)證

a) 對于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用，采用SSL+數(shù)字證書結(jié)合的方式（即HTTPS協(xié)議），保證通信數(shù)據(jù)的加密傳輸，同時也保證了用戶端對服務(wù)器端的認(rèn)證，避免用戶被冒充合法網(wǎng)站的“釣魚網(wǎng)站”欺騙，從而泄露機(jī)密信息（用戶名和密碼等），造成不可挽回的經(jīng)濟(jì)損失。

3. 基于用戶賬號的使用行為的日志記錄及其審計(jì)

a) 系統(tǒng)服務(wù)器側(cè)應(yīng)根據(jù)賬號，對用戶的使用行為進(jìn)行詳細(xì)的日志記錄和審計(jì)，通過上述因素的日志記錄，進(jìn)行階段性的審計(jì)（時間間隔應(yīng)該比較小），從而做到發(fā)現(xiàn)用戶賬號的盜用、惡意使用等問題，盡早進(jìn)行處理

4. 惡意用戶流量的檢測、過濾及阻斷

a) 系統(tǒng)服務(wù)器側(cè)應(yīng)部署IDS入侵檢測系統(tǒng)、IPS入侵防護(hù)系統(tǒng)、防火墻等設(shè)備，或者部署目前高效、流行的UTM（統(tǒng)一威脅管理）設(shè)備，對惡意用戶采用的各種攻擊手段進(jìn)行檢測和防護(hù)，重點(diǎn)過濾惡意流量、突發(fā)流量等。

5. 對用戶的非正常應(yīng)用請求的過濾和處理

a) 系統(tǒng)的服務(wù)器端，尤其是數(shù)據(jù)庫服務(wù)器端，應(yīng)該通過配置和增加對用戶非常長應(yīng)用請求的過濾和處理模塊，以避免由于數(shù)據(jù)庫的自身漏洞未及時打上補(bǔ)丁，而遭受目前流行的SQL 注入攻擊等。

6. Web系統(tǒng)服務(wù)器側(cè)的合理子網(wǎng)劃分及流量分割

a) 系統(tǒng)服務(wù)器側(cè)包括大量的服務(wù)器類型，包括數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等，為了避免由于惡意流量造成的某種服務(wù)器崩潰，而引起的攻擊后果擴(kuò)散，并最終導(dǎo)致其他服務(wù)器也發(fā)生“雪崩效應(yīng)”，則需要通過子網(wǎng)隔離（比如VLAN劃分）、DMZ區(qū)域的設(shè)定等方式來將這些服務(wù)器放置在不同的安全域當(dāng)中，做到流量和數(shù)據(jù)的安全隔離，從而將服務(wù)器端在遭受攻擊后對整個業(yè)務(wù)系統(tǒng)及其他內(nèi)網(wǎng)資源和數(shù)據(jù)造成的影響盡量控制在最低的范圍內(nèi)。

7. Web系統(tǒng)服務(wù)器側(cè)的負(fù)載均衡及負(fù)載保護(hù)機(jī)制

a) 系統(tǒng)面臨著巨大的服務(wù)量，服務(wù)器端的設(shè)備基本上都需要有多臺服務(wù)器進(jìn)行業(yè)務(wù)分擔(dān)，這樣才能提高性能，避免處理瓶頸的出現(xiàn)，因此，需要采用合理的負(fù)載均衡和負(fù)載保護(hù)機(jī)制

b) 對各服務(wù)器的業(yè)務(wù)流量進(jìn)行有效地分擔(dān)，可按照Round Robin、LRU等方式來進(jìn)行負(fù)載均衡

c) 負(fù)載保護(hù)機(jī)制需要實(shí)時地對每臺服務(wù)器的CPU資源、內(nèi)存資源等進(jìn)行評估，如果一旦超過設(shè)定的閾值（80%或者以上），將馬上進(jìn)行過載保護(hù)，從而保證服務(wù)器自身的安全

8. Web系統(tǒng)服務(wù)器側(cè)的災(zāi)難備份及恢復(fù)策略

a) 任何系統(tǒng)都不能說100%的安全，都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作，需要著重考慮如下幾點(diǎn)：

i. 選擇合適的備份策略，做好提前備份，包括全備份、差分備份、增量備份等等

ii. 選擇合適的備份介質(zhì)，包括磁帶、光盤、RAID磁盤陣列等

iii. 選擇合適的備份地點(diǎn)，包括本地備份、遠(yuǎn)程備份等等

iv. 選擇合適的備份技術(shù)，包括NAS、SAN、DAS等等

v. 作好備份的后期維護(hù)和安全審計(jì)跟蹤

9. Web系統(tǒng)服務(wù)器的安全管理

a) 系統(tǒng)功能復(fù)雜，業(yè)務(wù)數(shù)據(jù)敏感，保密級別比較高，并且對不同管理人員的權(quán)限、角色要求都不盡相同，為了保證安全管理，避免內(nèi)部管理中出現(xiàn)安全問題，建議作如下要求：

i. 嚴(yán)格劃分管理人員的角色及其對應(yīng)的權(quán)限，避免一權(quán)獨(dú)攬，引起安全隱患；

ii. 作好服務(wù)器機(jī)房的物理?xiàng)l件管理，避免電子泄露、避免由于靜電等引起的故障；

iii. 應(yīng)作好服務(wù)器管理員的帳號/口令管理，要求使用強(qiáng)口令，避免內(nèi)部人員盜用；

iv. 作好服務(wù)器的端口最小化管理，避免內(nèi)部人員掃描得出服務(wù)器的不必要的開放端口及其漏洞，實(shí)行內(nèi)部攻擊；

v. 作好服務(wù)器系統(tǒng)軟件、應(yīng)用軟件的日志管理和補(bǔ)丁管理工作，便于審計(jì)和避免由于安全漏洞而遭受到內(nèi)部人員的攻擊；

vi. 根據(jù)業(yè)務(wù)和數(shù)據(jù)的機(jī)密等級需求，嚴(yán)格劃分服務(wù)器的安全域，避免信息泄露。

10. 網(wǎng)站漏洞自我挖掘及防護(hù)：采用漏洞掃描和挖掘設(shè)備，對內(nèi)網(wǎng)各服務(wù)器進(jìn)行階段性的掃描，并根據(jù)掃描所得的風(fēng)險和漏洞進(jìn)行及時地修補(bǔ)，以實(shí)現(xiàn)該漏洞為黑客使用之前進(jìn)行自行修復(fù)的目的。

三、 網(wǎng)絡(luò)拓?fù)浼耙c(diǎn)剖析

1、 網(wǎng)絡(luò)拓?fù)?/P>

方案的網(wǎng)絡(luò)拓?fù)淙缦滤荆?/P>

2、部署要點(diǎn)解析

（1）防火墻的設(shè)置

圖中所示防火墻的設(shè)置原則如下：

采用外部和內(nèi)外防火墻雙重設(shè)置，以切實(shí)保障外部流量進(jìn)入HTTP反向代理服務(wù)器（DMZ區(qū)域）和內(nèi)部網(wǎng)絡(luò)前均通過安全檢測；

內(nèi)部和外部防火墻的使用應(yīng)盡量采取不同廠家和不同型號的防火墻設(shè)備，以提高防火墻的防護(hù)性能。

（2）HTTP反向代理服務(wù)器的設(shè)置

通過設(shè)置反向代理服務(wù)器，可以起到如下安全防護(hù)作用：

隱藏內(nèi)部Web服務(wù)器的IP地址，外部用戶根本感覺不到反向代理服務(wù)器的存在，極大地降低網(wǎng)絡(luò)內(nèi)部Web服務(wù)器被攻擊的風(fēng)險和概率；

反向代理服務(wù)器可以緩存內(nèi)部Web服務(wù)器的部分?jǐn)?shù)據(jù)，可以減輕內(nèi)部服務(wù)器的負(fù)載壓力，提升服務(wù)質(zhì)量；

作為一個堡壘主機(jī)，即算反向代理務(wù)器遭受攻擊，由于內(nèi)外部防火墻的設(shè)置，也不會影響到內(nèi)部的網(wǎng)絡(luò)服務(wù)器安全。

（3）IPS的設(shè)置

使用上述方法設(shè)置IPS，可以起到如下安全防護(hù)和異常阻斷作用：

對從反向代理服務(wù)器流向內(nèi)部的流量和請求在內(nèi)部的入口端進(jìn)行過濾，成為防火墻后的第二層防護(hù)點(diǎn)，從源頭保證內(nèi)部安全；

對內(nèi)網(wǎng)的異常狀況可以進(jìn)行實(shí)時的檢測，即算有威脅和異常源自內(nèi)部而對服務(wù)器發(fā)生破壞作用，如篡改網(wǎng)頁、刪除文件等，也能進(jìn)行有效地監(jiān)控、審計(jì)和記錄，從而保證內(nèi)網(wǎng)安全。

四、 主要安全產(chǎn)品選型

由于趙明目前主要需要解決的是入侵防護(hù)問題，因此下面主要給出與其相關(guān)的IPS和漏洞掃描的安全產(chǎn)品選型，其他的如存儲備份設(shè)備、防火墻設(shè)備的選型可以根據(jù)企業(yè)的實(shí)際情況進(jìn)行選擇使用，本方案不作過多推薦和描述。

1、綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng) IPS

綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)  （NSFOCUS  Network  Intrusion  Prevention System，簡稱：NSFOCUS NIPS） 是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護(hù)解決方案。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)是網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)同類產(chǎn)品中的精品典范，該產(chǎn)品高度融合高性能、高安全性、高可靠性和易操作性等特性，產(chǎn)品內(nèi)置先進(jìn)的Web信譽(yù)機(jī)制，同時具備深度入侵防護(hù)、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項(xiàng)功能，能夠?yàn)橛脩籼峁┥疃裙舴烙蛻?yīng)用帶寬保護(hù)的完美價值體驗(yàn)。

入侵防護(hù)：實(shí)時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。

Web威脅防護(hù)：基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測結(jié)果，結(jié)合URL信譽(yù)評價技術(shù)，保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。

流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

用戶上網(wǎng)行為監(jiān)管：全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

2、綠盟遠(yuǎn)程安全評估系統(tǒng)

每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，加上攻擊者手段的不斷變化，網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻。事實(shí)證明，99%的攻擊事件都利用了未修補(bǔ)的漏洞，使得許多已經(jīng)部署了防火墻、入侵檢測系統(tǒng)和防病毒軟件的企業(yè)仍然飽受漏洞攻擊之苦，蒙受巨大的經(jīng)濟(jì)損失。

尋根溯源，絕大多數(shù)用戶缺乏一套完整、有效的漏洞管理工作流程，未能落實(shí)定期評估與漏洞修補(bǔ)工作。只有比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好預(yù)防工作，才能夠有效地避免由于攻擊所造成的損失。

綠盟遠(yuǎn)程安全評估系統(tǒng) （NSFOCUS Remote Security Assessment System， 簡稱：NSFOCUS RSAS）第一時間主動診斷安全漏洞并提供專業(yè)防護(hù)建議，讓攻擊者無機(jī)可乘，其主要特點(diǎn)為：

依托專業(yè)的NSFOCUS安全研究團(tuán)隊(duì)，綜合運(yùn)用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動、高效、及時準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；

針對網(wǎng)絡(luò)資產(chǎn)的安全漏洞進(jìn)行詳細(xì)分析，采用權(quán)威的風(fēng)險評估模型量化風(fēng)險，提供專業(yè)的解決方案；

融合Open VM（Open Vulnerability Management）開放漏洞管理工作流程，提供真正有效的漏洞管理解決方案；為降低企業(yè)的安全風(fēng)險提供強(qiáng)有力的保障。

【編輯推薦】

1. “拯救網(wǎng)站運(yùn)維經(jīng)理趙明”有獎?wù)骷顒?/A>
2. 高端網(wǎng)絡(luò)防護(hù)不能“照葫蘆畫瓢”
3. 安全知識之加強(qiáng)網(wǎng)絡(luò)防護(hù)的四個步驟
4. 打造基于APPDRR的動態(tài)安全防御體系