一個(gè)Web服務(wù)器，從上到下可以分為上中下三層。最低層為操作系統(tǒng)層，如Windows或者Linux操作系統(tǒng);中間層是Web服務(wù)程序、數(shù)據(jù)庫服務(wù)等通用組件;最上面一層是與內(nèi)容和業(yè)務(wù)相關(guān)的網(wǎng)頁程序。只要這三層架構(gòu)中，任何一層出現(xiàn)問題就可能會(huì)導(dǎo)致整個(gè)網(wǎng)站的安全受到威脅。為此我們在部署Web服務(wù)器安全策略的時(shí)候，決定不能夠只關(guān)注上層的Web服務(wù)程序，而應(yīng)該構(gòu)建一個(gè)立體的Web防護(hù)網(wǎng)。

一、每一層都可能存在安全漏洞

在這里筆者要告訴大家一個(gè)非常不幸的消息。在Web服務(wù)器的三層架構(gòu)中，任何一層都有或大或小的漏洞。在操作系統(tǒng)層面，無論采用Windows操作系統(tǒng)還是采用Linux操作系統(tǒng)，都不時(shí)的會(huì)有黑客可以遠(yuǎn)程利用的安全漏洞被發(fā)現(xiàn)。相比之下，Linux操作系統(tǒng)要比Windows操作系統(tǒng)安全一點(diǎn)。而中間層，如IIS、ASP、SQLServer也不時(shí)的有“漏洞門”的問題。最上層的網(wǎng)頁程序，漏洞更是不少。如著名的SQL注入式攻擊漏洞就是出現(xiàn)在網(wǎng)頁程序?qū)又小?/P>

雖然現(xiàn)在有比較多的安全防護(hù)產(chǎn)品，但是比較可惜的是，他們往往都只是針對一個(gè)特定的層面?；蛘哒f目前很多Web網(wǎng)站的防護(hù)技術(shù)并不過硬。如不少企業(yè)在Web服務(wù)器外面都會(huì)部署一個(gè)防火墻。但是因?yàn)獒槍eb服務(wù)器的攻擊，很多是直接對應(yīng)用層的漏洞發(fā)起的攻擊行為，他們可以直接通過80端口來完成攻擊的行為。在這種情況下，即使采用了防火墻也無濟(jì)于事。當(dāng)任何一層被攻破，那么其它兩層即使保護(hù)的再好，最后的結(jié)果都只有一個(gè)，那就是失敗。

總之，Web服務(wù)器的每一層都存在著比較嚴(yán)重的漏洞。如果要確保Web服務(wù)器的安全，那么必須要構(gòu)建一個(gè)立體的防護(hù)網(wǎng)。

二、利用IPS構(gòu)建一個(gè)立體的Web防護(hù)網(wǎng)

IPS(入侵防御系統(tǒng))是一個(gè)集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能的一個(gè)綜合性的防御系統(tǒng)。對于Web服務(wù)器來說，其基本上涵蓋了上中下三個(gè)層面的內(nèi)容。為此借助IPS技術(shù)，就可以為Web服務(wù)器構(gòu)建一個(gè)立體的Web防護(hù)網(wǎng)。

眾所周知，防火墻等設(shè)備，其主要關(guān)注的是網(wǎng)絡(luò)層的基礎(chǔ)安全，而不會(huì)涉及到應(yīng)用層。而像SQL注入式攻擊等等基本上都發(fā)生在應(yīng)用層。為此對于Web服務(wù)器的安全貢獻(xiàn)不是很大。而IPS技術(shù)與防火墻不同，其可以深入到應(yīng)用層面。IPS防御系統(tǒng)會(huì)檢測從報(bào)文頭到報(bào)文負(fù)載的每一個(gè)字節(jié)，將數(shù)據(jù)流流與攻擊特征字節(jié)進(jìn)行對比，從而有效的發(fā)現(xiàn)隱藏在正常數(shù)據(jù)流中的攻擊報(bào)文?？梢娡ㄟ^IPS系統(tǒng)可以為Web服務(wù)器構(gòu)建一個(gè)立體的防護(hù)網(wǎng)。

IPS防御系統(tǒng)的理論知識大家可以去查看具體的書籍，這不是筆者這里要重點(diǎn)討論的內(nèi)容。筆者這里需要強(qiáng)調(diào)的是，在部署IPS系統(tǒng)時(shí)需要注意的內(nèi)容。

三、IPS選購時(shí)要選品牌、看技術(shù)實(shí)力

IPS與普通的安全產(chǎn)品不同，其核心的內(nèi)容就是技術(shù)。具體的說，就是檢測引擎。雖然現(xiàn)在市面上提供IPS產(chǎn)品的廠商有很多。但是根據(jù)筆者的了解，其效果是層次不齊。有些IPS產(chǎn)品，雖然打著ISP旗號，但是基本上起不到IPS的功能。這主要是因?yàn)闄z測引擎等核心技術(shù)，各個(gè)廠商都非常的看重。有些技術(shù)實(shí)力稍微薄弱一點(diǎn)的企業(yè)，就無法研發(fā)完善的檢測引擎。而由于缺乏這個(gè)核心的技術(shù)，則IPS功能就只成了一個(gè)擺設(shè)。

為此企業(yè)在選購IPS防御系統(tǒng)的時(shí)候，主要需要關(guān)注的是廠商的技術(shù)實(shí)力。簡單的說，就是需要選品牌的。國內(nèi)在這一塊做的不錯(cuò)的，主要有聯(lián)想與華為等幾家廠商。如聯(lián)想的檢測引擎，會(huì)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行收集和檢測分析，并能夠依據(jù)設(shè)定的安全策略對違反預(yù)設(shè)策略的事件實(shí)施阻斷或者限制的操作。同時(shí)實(shí)時(shí)的向LEMSServer(相當(dāng)于是一個(gè)日志服務(wù)器) 傳送報(bào)警信息和事件過程記錄。華為公司的IPS檢測系統(tǒng)，采用的是其自主研發(fā)的FIRST(基于精確狀態(tài)的全面檢測)檢測引擎。這個(gè)檢測引擎集成了多項(xiàng)檢測技術(shù)，實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測。

筆者仔細(xì)研究過這兩家企業(yè)的IPS防御系統(tǒng)。發(fā)現(xiàn)確實(shí)能夠?qū)eb服務(wù)器的安全起到不可替代的作用。而且兩家廠商的技術(shù)實(shí)力都比較雄厚，為此對于檢測引擎的升級也比較快。能夠在最短的時(shí)間內(nèi)，發(fā)現(xiàn)可疑的攻擊行為。

四、IPS選購時(shí)需要關(guān)注其涉及的層面

在文章一開始，筆者就談到過，Web服務(wù)器從上到下可以分為三層。如果任何一層出現(xiàn)漏洞，那么都會(huì)給服務(wù)器帶來致命的打擊。為此我們在選擇IPS防御系統(tǒng)的時(shí)候，也需要關(guān)注，其選擇的產(chǎn)品到底是否能夠?qū)@個(gè)三個(gè)層面構(gòu)成一個(gè)立體的防御體系。

如針對Web網(wǎng)頁程序的攻擊，管理員需要評估產(chǎn)品是否會(huì)分析網(wǎng)頁程序ud每一個(gè)HTTP請求，并根據(jù)常見的網(wǎng)頁漏洞原理對每個(gè)客戶端提交的HTTP請求進(jìn)行攻擊特征匹配。如果發(fā)現(xiàn)有可疑的請求，能夠自動(dòng)將攻擊報(bào)文阻斷并報(bào)警。

而對于中間層來說，需要IPS防御系統(tǒng)能夠分析跟蹤Web服務(wù)器中間層組建的攻擊特點(diǎn)以及常見的漏洞，并在IPS系統(tǒng)中實(shí)現(xiàn)核心的防護(hù)措施。如對于SQLServer數(shù)據(jù)庫服務(wù)器來說，IPS系統(tǒng)需要根據(jù)已有的信息，來判斷SQLServer服務(wù)器是否存在可以被攻擊的漏洞等等。

對于底層的操作系統(tǒng)來說，需要IPS系統(tǒng)能夠?qū)ζ涮峁┓雷o(hù)。如系統(tǒng)需要分析常見操作系統(tǒng)的每一個(gè)可以被遠(yuǎn)程利用的漏洞，分析漏洞的原因和利用這個(gè)漏洞發(fā)生攻擊的常見手段。并從歷史的攻擊案例中分析出攻擊的特征。然后將這個(gè)結(jié)果與現(xiàn)有的數(shù)據(jù)流進(jìn)行匹配，以判斷是否有可以的攻擊行為。

在選型時(shí)，安全技術(shù)人員需要評估IPS能否在以上三個(gè)層面提供足夠安全的技術(shù)保障。如果不能股從技術(shù)層面進(jìn)行測試的話，那么至少要看看其是否通過了相關(guān)的國際認(rèn)證。如對于操作系統(tǒng)層的防火，可以考察其是否通過了微軟的MAPP認(rèn)證。因?yàn)橹灰ㄟ^了這個(gè)認(rèn)證，那么廠商就可以提前獲得微軟的漏洞信息(在微軟正式發(fā)布漏洞聲明之前)。對于安全防護(hù)來說，有時(shí)候時(shí)間就是生命。提早一步知道系統(tǒng)的漏洞，那么就可以在攻擊者發(fā)起攻擊之前就采取防護(hù)措施。

另外有些廠商提供的IPS防御系統(tǒng)，其關(guān)注的內(nèi)容并不是很全面。如只管住中間層和Web網(wǎng)頁程序?qū)拥膬?nèi)容。他們認(rèn)為操作系統(tǒng)層的安全可以有系統(tǒng)管理員來負(fù)責(zé)或者由微軟的Update服務(wù)來實(shí)現(xiàn)。雖然這也有一定的道理，但是其會(huì)增加管理人員的工作量。需要同時(shí)從多個(gè)平臺上來可以Web服務(wù)器的安全。這不是很理想。

五、根據(jù)Web服務(wù)器的規(guī)模來選擇不同規(guī)格的產(chǎn)品

Web服務(wù)器是一個(gè)很特殊的應(yīng)用。其客戶多則有上億，而少則可能只有幾百個(gè)(如一個(gè)B/S架構(gòu)的OA應(yīng)用)。這就對IPS的選型提出了一個(gè)額外的挑戰(zhàn)。因?yàn)樗械耐ㄐ哦夹枰?jīng)過IPS系統(tǒng)的檢測。為此對于其性能肯定會(huì)造成一定程度的影響。

當(dāng)Web服務(wù)的并發(fā)性訪問數(shù)量比較高時(shí)，這個(gè)負(fù)面影響會(huì)非常的嚴(yán)重。此時(shí)對于IPS服務(wù)器就需要采用比較高的配置，以縮短檢測過程所占用的時(shí)間。而對于規(guī)模比較小的應(yīng)用，其流量本身就不是很大，此時(shí)采用的配置可以底一點(diǎn)。畢竟一分錢一分貨。高配置與低配置在最后的結(jié)果上可能沒有多少的差異，但是在性能上會(huì)相差很多。當(dāng)然在價(jià)格上，也是一個(gè)天上、一個(gè)地下。

總之，在選擇IPS防御系統(tǒng)的時(shí)候，要根據(jù)自己企業(yè)的Web規(guī)模來選擇合適的規(guī)格。此時(shí)主要是從IPS的吞吐量，即性能角度進(jìn)行考慮。一個(gè)基本的原則，就是盡可能的減少由于采用了IPS系統(tǒng)而給用戶帶來的負(fù)面影響。

【編輯推薦】

1. WAF vs IPS 誰更適合防護(hù)Web應(yīng)用？
2. 解決方案：UTM和IPS兼顧立體安全防護(hù)