【51CTO.com獨家特稿】古人之言，不知道趙明可知否？中國古代的大軍事家孫子早在幾千年前就在《孫子兵法》里指出：“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負；不知彼不知己，每戰(zhàn)必敗。” 從看到這個活動時，我就替趙明想了下面這些問題，如果并不清楚黑客是如何找到我們的，如果也不知道黑客是如何進來的，即使我們拿一些安全設備將自己偽裝起來，依然可能被黑客再次扒了衣服，透明的外衣加上裸奔，滋味一定不好受。  

部署數據泄漏防護，減少黑客“踩點”途徑

踩點（Footprinting），這是收集目標信息的奇技淫巧。舉例來說，當盜賊決定搶劫一家銀行時，他們不會大搖大擺地走進去直接要錢（至少明智的賊不會）。相反，他們會狠下一番苦功夫收集關于這家銀行的相關信息，包括武裝押運車的路線和運送時間、攝像頭位置和攝像范圍、出納員人數、逃跑出口以及其他任何有助于行事的信息。同樣的需要也適用于趙明的對手。他們必須收集大量的信息，以便集中火力進行外科手術式攻擊（這種攻擊可不會輕易被捉?。?。因此，攻擊者將盡可能多地收集一個單位安全情況的方方面面。最后，黑客就得到了獨特的足跡（Footprint），也就是說黑客同樣也能得到51CTO網站上提供的結構圖。  

如果把收集情報比作大海撈針的話，那么踩點活動要撈的“針”都有哪些呢？ 

◆公司的Web網頁 

◆相關組織 

◆地理位置細節(jié) 

◆電話號碼、聯(lián)系人名單、電子郵件地址、詳細的個人資料 

◆近期重大事件（合并、收購、裁員、快速增長等等） 

◆可以表明現有信息安防機制的隱私/安防策略和技術細節(jié) 

◆已歸檔的信息 

◆心懷不滿的員工 

◆搜索引擎、Usenet和個人簡歷 

◆讓人感興趣的其他信息

我們舉一個例子來說，聯(lián)系人名單和電子郵件地址也是非常有用的情報。大多數組織都會使用其員工姓名的某種變體作為他們的用戶名和電子郵件地址（比如說，趙明的用戶名往往會是“zhaoming”、“zhaom”或“zm”，而他的電子郵件地址則往往會是zhaoming@company.com或類似的東西）。如果能夠設法弄到某個組織里的一個用戶名或電子郵件地址，我們就可以相當準確地把很多用戶的用戶名和電子郵件地址推測出來。在我們稍后嘗試獲得系統(tǒng)資源的訪問權限時，一個合法的用戶名將非常有用，這很有可能造成網站管理賬戶的密碼被“暴力破解”！

那么如何防止運維人員和公司內部普通用戶將私有信息泄露出去，成為黑客踩點階段的美餐呢？我們希望趙明通過一定的技術或管理手段，防止用戶的指定數據或信息資產以違反安全策略規(guī)定的形式被有意或意外流出。那么在管理上，趙明可以借鑒更多的教育手段來提升普通用戶將信息丟到外網上去，而技術手段上則需要“數據泄漏防護”(Data leakage prevention, DLP)，產品的支撐。

通過趙明公司網絡和應用結構圖的分析，我們可以發(fā)現，這些敏感數據通常存放在文件服務器上，普通的用戶通過自己的終端進行訪問。而用戶周邊的打印機、可移動存儲設備、攝像頭、調制解調器和無線網絡也是潛在的本地數據泄漏源，趙明可以通過在用戶的終端上部署基于主機的數據泄漏防御方案來進行控制。而終端用戶和Internet進行的通訊，尤其是最常見的E-mail、FTP、HTTP和即時通訊也是常見的網絡數據泄漏源，在這種場合就需要在內部網絡和Internet連接的出口處部署基于網絡的數據泄漏防御方案進行控制。#p#

部署傳統(tǒng)防火墻，防范數據庫暴露

如果說踩點相當于尋找并偵察情報中心的話，掃描就是在逐寸敲打墻壁以期找出所有門窗了。黑客通過踩點獲得了很多有價值的信息，包括員工們的姓名和電話號碼、IP地址范圍、DNS服務器、Web服務器、論壇的賬戶信息、通過員工個人文檔以及郵件內容獲得的種種信息。他們將利用各種工具和技巧——比如ping掃描、端口掃描以及各種自動發(fā)現工具——去確定在目標網絡里都有哪些系統(tǒng)正在監(jiān)聽外來的網絡通信（或者說是真實存在的），以及都有哪些系統(tǒng)可以從因特網直接進行訪問。

從基于Web主機的角度，各種服務器自身內置的實用工具都可以監(jiān)測到ping或者掃描活動并把它們記載到日志文件里去。如果你們在查看有關日志時發(fā)現來自某個系統(tǒng)或網絡的ICMP ECHO數據包是某種可疑的模式，那可能代表著有人正在對你們的站點進行網絡偵察。希望趙明要密切留意這類活動，它往往預示著一次全面的攻擊已迫在眉睫。另外，有許多種商業(yè)化的網絡和桌面防火墻工具（Cisco、Check Point、Microsoft、McAfee、Symantec和ISS等公司都能提供）可以監(jiān)測到ICMP、TCP和UDP ping掃描活動。

但存在可以監(jiān)測ping掃描活動的技術，并不意味著有人在密切監(jiān)測著這類活動。所以最好的方式是在Web主機前部屬防火墻，以防止這種掃描接觸到真實的主機。包過濾技術（Packet Filter）是防火墻為系統(tǒng)提供安全保障的主要技術，它通過設備對進出網絡的數據流進行有選擇的控制與操作。包過濾操作通常在選擇路由的同時對數據包進行過濾。用戶可以設定一系列的規(guī)則，指定允許哪些類型的數據包可以流入或流出內部網絡；哪些類型的數據包的傳輸應該被丟棄。那么這些規(guī)則就是以IP包信息為基礎，對IP包的源地址、 IP包的目的地址、封裝協(xié)議（TCP／UDP／ICMP／IP Tunnel）、端口號等進行篩選。包過濾類型的防火墻要遵循的一條基本原則就是“最小特權原則”，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。

另外一種常見的掃描時“端口掃描”，黑客是主動連接到目標系統(tǒng)的TCP和UDP端口以確定在目標系統(tǒng)上都有哪些服務正在運行或處于LISTENING（監(jiān)聽）狀態(tài)的過程。確定有哪些端口正處于監(jiān)聽狀態(tài)是一個非常重要的攻擊步驟，攻擊者不僅可以了解到遠程系統(tǒng)上都運行著哪些服務，還可以準確地探測出目標系統(tǒng)所使用的操作系統(tǒng)和應用程序的類型和版本。處于監(jiān)聽狀態(tài)的活躍服務就像是你家的大門和窗戶——它們都是外人進入你私人領地的通道。根據其具體類型（是“窗戶”還是“大門”），這些通道有的會讓非授權用戶侵入各種配置不當的系統(tǒng)。當然我們也可以利用防火墻防止TCP SYN “半開掃描”（half-open scanning）、FIN掃描、第三方掃描（“代理”或“肉雞”掃描）等等。

綜上所述，你可能以為我要部署一臺防火墻在Web服務器前面，當然了，不過不要急，我們還要對數據庫進行防護呢？這就是內網重新調整成為兩個區(qū)域：一個是辦公區(qū)域，將文件服務器和客戶端放在里面，另一個是數據區(qū)，將兩臺數據庫放在防火墻的后面，如下圖所示： 

 當外部攻擊穿過外層防護機制進入應用服務區(qū)后，進一步的侵入受到應用層和核心層防護機制的制約。由于外層防護機制已經檢測到入侵，并及時通知了管理員，當黑客再次試圖進入應用區(qū)時，管理員可以監(jiān)控到黑客的行為，收集相關證據，并隨時切斷黑客的攻擊路徑，對于SQL服務器的保護機制是最完善的。

背對背防火墻(Back to Back Firewall )是一般大型企業(yè)所采用的架構，運用兩段防火墻分隔出內部網絡、DMZ區(qū)、外部網絡。所分隔出的DMZ區(qū)專門放置對外提供服務的服務器，利用不同的網段與內部防火墻，將內部使用的服務器分隔開，大大降低對外服務器如Web、SMTP Relay服務器被攻破后，對內部網絡產生的危害。#p#

部署Web防火墻，在應用層做到深度檢測

然而，傳統(tǒng)的防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數據包中（HTTP訪問），它仍然能通過防火墻到達應用服務器；同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。

針對傳統(tǒng)防火墻的弊端，Web 應用防火墻逐漸在中小企業(yè)和Web服務托管環(huán)境中廣泛應用，它包括兩個關鍵功能：即對HTTP/HTTPS 協(xié)議的實時監(jiān)測，HTTP往返流量都能夠對其行為狀態(tài)進行判斷，在攻擊到達Web 服務器之前進行阻斷，防止惡意的請求或內置非法程序的請求訪問目標應用。

另外，我建議趙明選擇更先進的Web防火墻，例如攜帶網頁防篡模塊，這可以 通過內置自學習功能獲取WEB 站點的頁面信息，對整個站點進行“爬行”，爬行后根據設置的文件類型（如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip 等類型）進行緩存，并生成唯一的數字水印，然后進入保護模式提供防篡改保護，當客戶端請求頁面與WAF 自學習保護的頁面進行比較，如檢測到網頁被篡改，第一時間對管理員進行實時告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網站。當然，事后可對原始文件及篡改后的文件進行本地下載比較，查看篡改記錄，這對于趙明來說，就是在現在的網站結構中安插一個24小時的哨兵。

提示：在配置Web防火墻時，配置的策略下包含了HTTP 協(xié)議合規(guī)性、SQL 注入阻斷、跨站點腳本攻擊防護、表單、ookie 篡改防護、DoS 攻擊防護等，這是傳統(tǒng)防火墻從來就沒有涉及的領域。

添加設備修改網絡結構
 

 通過上述分析，我們需要對趙明的網站結構中添加三個設備，即：Web防火墻、數據泄漏產品和傳統(tǒng)的內網高速防火墻。這三個產品并分別存放在：Web服務器前端，交換機后面的數據庫區(qū)域（背對背防火墻，防止數據庫直接暴露），以及文件服務器和內網客戶端上部署數據泄漏產品。

我們選擇了市面上占有率較高的產品作為以下拓撲圖中實例： 

◆華為Eudemon 300 千兆防火墻 

◆明御Web 應用防火墻 

◆Websense Content Protection Suite防數據泄露

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】  

【編輯推薦】

1. “拯救網站運維經理趙明”有獎方案征集啟事
2. “標本兼治”救趙明將黑客“拒之門外”