【51CTO.com獨(dú)家特稿】現(xiàn)狀分析：

趙明：網(wǎng)站運(yùn)維經(jīng)理

視頻中提出2個(gè)問(wèn)題：

1、利用安全防護(hù)方案預(yù)防攻擊的發(fā)生。

2、當(dāng)被攻擊時(shí)，能及時(shí)報(bào)警，阻斷并記錄黑客行為特性。

當(dāng)前網(wǎng)站拓?fù)鋱D如下：  

通過(guò)視頻，知趙明運(yùn)維的網(wǎng)站被黑客攻擊，網(wǎng)站被改。

當(dāng)前的網(wǎng)站拓?fù)鋱D中只有一個(gè)負(fù)載均衡器，可能是通過(guò)負(fù)載均衡器的防火墻功能代替了防火墻類設(shè)備。

網(wǎng)站架構(gòu)為2層結(jié)構(gòu)，前臺(tái)WEB，后臺(tái)DB。

解決方案：

1、安裝安全設(shè)備

在網(wǎng)絡(luò)前端架設(shè)IPS設(shè)備，WAF防火墻，配置一臺(tái)專用日志服務(wù)器，拓?fù)淙缦?nbsp; 

說(shuō)明：

① IPS即入侵保護(hù)系統(tǒng)，IPS完全實(shí)現(xiàn)防火墻的功能；具有IDS的所有特性。以串聯(lián)接入網(wǎng)絡(luò)，比旁路IDS防御效果好，能夠有效阻斷入侵連接。

IPS功能介紹

針對(duì)不同的網(wǎng)絡(luò)環(huán)境和安全需求，基于安全區(qū)、IP地址（組、段）、規(guī)則（組、集）、時(shí)間、動(dòng)作等對(duì)象，制定不同的規(guī)則和響應(yīng)方式。

主動(dòng)防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL注入、暴力猜測(cè)、拒絕服務(wù)、掃描探測(cè)、非授權(quán)訪問(wèn)、蠕蟲(chóng)病毒、木馬后門、間諜軟件等，而且針對(duì)僵尸網(wǎng)絡(luò)提供主動(dòng)防御，廣泛精細(xì)的應(yīng)用防護(hù)幫助用戶避免安全損失。

支持安全區(qū)（Zone），支持路由、透明、混合三種工作模式，支持五種安全區(qū)模式：透明（Layer2）、路由（Layer3）、監(jiān)聽(tīng)（Monitor）、直通（Direct）、管理（Mgt），能夠快速部署在各種網(wǎng)絡(luò)環(huán)境中。還支持失效開(kāi)放（Fail-open）機(jī)制和雙機(jī)熱備（HA），避免單點(diǎn)故障。

豐富的響應(yīng)方式，包括主動(dòng)響應(yīng)（丟棄數(shù)據(jù)包、丟棄連接會(huì)話）、被動(dòng)響應(yīng)（與防火墻聯(lián)動(dòng)、TCP Killer、發(fā)送郵件、控制臺(tái)顯示、日志數(shù)據(jù)庫(kù)記錄、打印機(jī)輸出、運(yùn)行用戶自定義命令、寫(xiě)入XML文件、snmp trap），用戶可自定義，滿足各種需要。

IPS配置建議：

禁止所有非開(kāi)放端口；

只允許外網(wǎng)到WEB的主動(dòng)訪問(wèn)；

禁止WEB到外網(wǎng)的主動(dòng)訪問(wèn)，按需求開(kāi)放部分連接，如補(bǔ)丁升級(jí)、病毒升級(jí)等。主要防止WEB服務(wù)器中病毒木馬之間的反向連接。

做好阻斷規(guī)則配置。

做好日志。

上線測(cè)試。

② WAF即WEB應(yīng)用防火墻，它主要是針對(duì)WEB應(yīng)用層防護(hù)。

WAF功能介紹

WEB應(yīng)用防火墻稱WAF，提供了一種安全運(yùn)維控制手段：基于對(duì)HTTP/HTTPS流量的雙向分析，為WEB應(yīng)用提供實(shí)時(shí)的防護(hù)。與傳統(tǒng)防火墻/IPS設(shè)備相比較，WAF最顯著的技術(shù)差異性體現(xiàn)在：

1. 對(duì)HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報(bào)文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding）；提供嚴(yán)格的HTTP協(xié)議驗(yàn)證；提供HTML限制；支持各類字符集編碼；具備response過(guò)濾能力。

2. 提供應(yīng)用層規(guī)則：WEB應(yīng)用通常是定制化的，傳統(tǒng)的針對(duì)已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測(cè)變形攻擊的能力，如檢測(cè)SSL加密流量中混雜的攻擊。

3. 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過(guò)，為WEB應(yīng)用提供了一個(gè)外部的輸入驗(yàn)證機(jī)制，安全性更為可靠。

4. 提供會(huì)話防護(hù)機(jī)制：HTTP協(xié)議最大的弊端在于缺乏一個(gè)可靠的會(huì)話管理機(jī)制。WAF為此進(jìn)行有效補(bǔ)充，防護(hù)基于會(huì)話的攻擊類型，如cookie篡改及會(huì)話劫持攻擊。

WAF配置建議：

按實(shí)際需求開(kāi)放最小權(quán)限；

做好阻斷規(guī)則配置。

做好日志。

上線測(cè)試。

為提高WAF性能，建議關(guān)閉其它附帶功能。

③ 日志服務(wù)器。直接連IPS和WAF，為這兩個(gè)設(shè)備做日志，主要用于事后分析。虛線連交換機(jī)，是為了方便管理，但存在安全隱患，如不是十分必要不建議連接。

④ IPS和WAF為均為單臺(tái)串行接入，存在單點(diǎn)故障，可以考慮雙機(jī)模式，提高可用性。

2、WEB服務(wù)器軟件安全

① 操作系統(tǒng)補(bǔ)丁、應(yīng)用系統(tǒng)補(bǔ)丁、中間件系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁、防病毒系統(tǒng)升級(jí)更新等等。

② WEB服務(wù)器，源代碼安全評(píng)估。

當(dāng)今的WEB安全主要集中在應(yīng)用層面，也就是代碼安全，雖然我們安裝了安全設(shè)備（IPS、WAF），但這些安全設(shè)備都是安全防御，對(duì)于正常的訪問(wèn)（或者說(shuō)被這些安全設(shè)備認(rèn)為是正常的）安全設(shè)備是放行的，如果這段代碼有問(wèn)題同樣會(huì)出大問(wèn)題。

建議1：WEB前后臺(tái)代碼完全剝離。

建議2：有條件的話，找專業(yè)安全廠商進(jìn)行代碼安全評(píng)估。

③ DB服務(wù)器安全設(shè)置，敏感操作要做日志等。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 給趙明的網(wǎng)站安全整改方案
2. 使用ModSecurity 保護(hù)Web服務(wù)安全(拯救趙明)