【51CTO.com獨家特稿】1. 網(wǎng)站現(xiàn)狀與存在的問題分析

不了解現(xiàn)狀，不分析現(xiàn)狀，不找到問題，就無從談起方案整改，為此我們先分析下趙明的網(wǎng)站網(wǎng)絡(luò)安全現(xiàn)狀。

這個圖是視頻最后提供的一份網(wǎng)絡(luò)拓撲，從這份拓撲上，我們可以了解如下信息：

1) 趙明負責維護的網(wǎng)站，主要提供web服務(wù)，并且有2臺web應(yīng)用服務(wù)器同時提供服務(wù)；

2) web服務(wù)器后臺存在獨立的數(shù)據(jù)庫服務(wù)器

3) 互聯(lián)網(wǎng)接入，首先連接的是負載均衡器，并由該設(shè)備采用負載均衡方式將流量分配到主、被web應(yīng)用服務(wù)器，保證系統(tǒng)高效運行；

4) 整改網(wǎng)絡(luò)上沒有網(wǎng)絡(luò)安全防護設(shè)備，沒有對重要服務(wù)器進行獨立保護。

從上述信息，我們可以分析得到所存在的主要安全技術(shù)問題如下：：

1) 互聯(lián)網(wǎng)接入邊界，沒有防護設(shè)備，互聯(lián)網(wǎng)對應(yīng)用服務(wù)器的訪問不受任何訪問控制與檢測，容易遭受來自互聯(lián)網(wǎng)的各種攻擊，包括Dos/DDos、SQL注入等等；

2) 網(wǎng)絡(luò)內(nèi)部，沒有將主/備應(yīng)用服務(wù)器、數(shù)據(jù)庫等進行獨立保護，他們之間的網(wǎng)絡(luò)互訪沒有任何限制；

3) 網(wǎng)絡(luò)內(nèi)部沒有網(wǎng)絡(luò)流量審計系統(tǒng)，對于來自互聯(lián)網(wǎng)的訪問，沒有進行審計記錄，無法追查任何惡意訪問、攻擊事件。

此外，我們在播放的趙明視頻中，還可以很容易的發(fā)現(xiàn)所存在的管理問題：

1) 工作時間休息開小差——睡覺，即使有網(wǎng)絡(luò)監(jiān)控設(shè)備，也會因為沒有技術(shù)人員的適當操作配合，而讓入侵繼續(xù)造成破壞；

2) 沒有應(yīng)急方案，發(fā)現(xiàn)入侵，只是憤慨，沒有相應(yīng)的應(yīng)對操作流程。

2. 整改目標

針對上述存在的問題，我們可以很容易確定本次整改方案目標：

1) 提升整改網(wǎng)絡(luò)、對外應(yīng)用服務(wù)器的抗攻擊能力；

2) 實現(xiàn)對攻擊事件、訪問事件的實時監(jiān)控能力；

3) 通過合理的網(wǎng)站備份，能及時恢復受攻擊的網(wǎng)站；

4) 制定安全管理、安全運維、應(yīng)急操作管理制度和流程。

3. 整改方案說明

3.1. 網(wǎng)絡(luò)拓撲

3.2. 方案說明

安全區(qū)域劃分

如圖示，劃分為主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫服務(wù)器區(qū)、備用服務(wù)器區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，安全區(qū)域劃分后，可以很方便明確哪個區(qū)域容易遭受攻擊，哪個區(qū)域需要重點保護等等，并且可以進一步在相應(yīng)的區(qū)域間部署相應(yīng)網(wǎng)絡(luò)安全設(shè)備。

互聯(lián)網(wǎng)防火墻部署

如圖①所示，在互聯(lián)網(wǎng)接入邊界，部署作為基本防護措施的防火墻設(shè)備，實現(xiàn)端口級別的控制，降低到下一個設(shè)備的違規(guī)流量。

Web防火墻部署

如圖②所示，部署web防火墻，實現(xiàn)對網(wǎng)站合法端口上的各種攻擊防護，如SQL注入攻擊、跨站攻擊等等，并記錄網(wǎng)站訪問行為。

內(nèi)網(wǎng)防火墻部署

如圖③所示，部署內(nèi)網(wǎng)區(qū)域隔離防火墻，對主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫服務(wù)器區(qū)、備用服務(wù)器區(qū)之間的網(wǎng)絡(luò)互訪進行訪問控制，隔離其他不需要的流量。

入侵檢測系統(tǒng)部署

如圖④所示，部署入侵檢測系統(tǒng)，同時檢測內(nèi)網(wǎng)2個交換機的網(wǎng)絡(luò)流量，對內(nèi)部流量、互聯(lián)網(wǎng)流量進行實時檢測，及時發(fā)現(xiàn)透過web防火墻的入侵流量，并進行報警，必要時可以與互聯(lián)網(wǎng)接入防火墻實現(xiàn)安全聯(lián)動。

4. 方案效果說明

通過上述整改后的網(wǎng)絡(luò)安全方案，至少可以實現(xiàn)如下效果：

1) 在互聯(lián)網(wǎng)接入部分，同時部署有防火墻和web防火墻，可以各司其職的分別對網(wǎng)絡(luò)端口、應(yīng)用流量攻擊進行檢測和自動阻斷，只要設(shè)備特別是web防火墻的特征碼實時更新，基本可以防護所有的來自互聯(lián)網(wǎng)的攻擊。另外上述設(shè)備具備的日志功能，可以基本滿足對攻擊日志、日常訪問日志的記錄和審計使用；

2) 在內(nèi)網(wǎng)，按照應(yīng)用系統(tǒng)的安全級別、使用方式等進行安全區(qū)域劃分，并通過內(nèi)網(wǎng)防火墻實現(xiàn)區(qū)域間訪問控制，進一步加強內(nèi)部網(wǎng)絡(luò)互訪控制措施；

3) 在內(nèi)網(wǎng)部署入侵檢測系統(tǒng)，是作為web防火墻的補充和二次檢測使用，建議此處使用與web防火墻不同品牌的入侵檢測系統(tǒng)，使用不同的攻擊代碼特征庫，實現(xiàn)互補措施，并且通過該設(shè)備，可以對網(wǎng)絡(luò)內(nèi)部、互聯(lián)網(wǎng)流量情況進行報表分析，便于管理員實施了解網(wǎng)絡(luò)訪問狀況。

其他方面，“三份技術(shù)，七分管理”，是經(jīng)常提起的一句話，現(xiàn)狀也說明趙明的運維確實存在安全管理問題，所以建議趙明完善網(wǎng)絡(luò)安全運維制度、應(yīng)急響應(yīng)操作規(guī)范等制度規(guī)范，不要再工作時間睡覺，不要再發(fā)現(xiàn)入侵時無所事事。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. Juniper防火墻加綠盟冰之眼加固網(wǎng)站(拯救趙明)
2. 防火墻加web應(yīng)用防火墻解決趙明問題