此文講述的是正確利用IPS完美構(gòu)建企業(yè)立體Web安全防護(hù)網(wǎng)的正確操作步驟，一個Web服務(wù)器，從上到下可以分為上中下三層。最低層為操作系統(tǒng)層，如Windows或是Linux操作系統(tǒng);中間層是Web服務(wù)程序、數(shù)據(jù)庫服務(wù)等通用組件;最上面一層是與內(nèi)容和業(yè)務(wù)相關(guān)的網(wǎng)頁程序。

只要這三層架構(gòu)中，任何一層出現(xiàn)問題就可能會導(dǎo)致整個網(wǎng)站的安全受到威脅。為此我們在部署Web服務(wù)器安全策略的時候，決定不能夠只關(guān)注上層的Web服務(wù)程序，而應(yīng)該構(gòu)建一個立體的Web防護(hù)網(wǎng)。

一、每一層都可能存在安全漏洞

在這里筆者要告訴大家一個非常不幸的消息。在Web服務(wù)器的三層架構(gòu)中，任何一層都有或大或小的漏洞。在操作系統(tǒng)層面，無論采用Windows操作系統(tǒng)還是采用Linux操作系統(tǒng)，都不時的會有黑客可以遠(yuǎn)程利用的安全漏洞被發(fā)現(xiàn)。相比之下，Linux操作系統(tǒng)要比Windows操作系統(tǒng)安全一點。而中間層，如IIS、ASP、SQLServer也不時的有“漏洞門”的問題。最上層的網(wǎng)頁程序，漏洞更是不少。如著名的SQL注入式攻擊漏洞就是出現(xiàn)在網(wǎng)頁程序?qū)又小?/p>

雖然現(xiàn)在有比較多的安全防護(hù)產(chǎn)品，但是比較可惜的是，他們往往都只是針對一個特定的層面。或者說目前很多Web網(wǎng)站的防護(hù)技術(shù)并不過硬。如不少企業(yè)在Web服務(wù)器外面都會部署一個防火墻。但是因為針對Web服務(wù)器的攻擊，很多是直接對應(yīng)用層的漏洞發(fā)起的攻擊行為，他們可以直接通過80端口來完成攻擊的行為。在這種情況下，即使采用了防火墻也無濟(jì)于事。當(dāng)任何一層被攻破，那么其它兩層即使保護(hù)的再好，最后的結(jié)果都只有一個，那就是失敗。

總之，Web服務(wù)器的每一層都存在著比較嚴(yán)重的漏洞。如果要確保Web服務(wù)器的安全，那么必須要構(gòu)建一個立體的安全防護(hù)網(wǎng)。

二、利用IPS構(gòu)建一個立體的Web防護(hù)網(wǎng)

IPS(入侵防御系統(tǒng))是一個集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能的一個綜合性的防御系統(tǒng)。對于Web服務(wù)器來說，其基本上涵蓋了上中下三個層面的內(nèi)容。為此借助IPS技術(shù)，就可以為Web服務(wù)器構(gòu)建一個立體的Web防護(hù)網(wǎng)。

眾所周知，防火墻等設(shè)備，其主要關(guān)注的是網(wǎng)絡(luò)層的基礎(chǔ)安全，而不會涉及到應(yīng)用層。而像SQL注入式攻擊等等基本上都發(fā)生在應(yīng)用層。為此對于Web服務(wù)器的安全貢獻(xiàn)不是很大。而IPS技術(shù)與防火墻不同，其可以深入到應(yīng)用層面。IPS防御系統(tǒng)會檢測從報文頭到報文負(fù)載的每一個字節(jié)，將數(shù)據(jù)流流與攻擊特征字節(jié)進(jìn)行對比，從而有效的發(fā)現(xiàn)隱藏在正常數(shù)據(jù)流中的攻擊報文?？梢娡ㄟ^IPS系統(tǒng)可以為Web服務(wù)器構(gòu)建一個立體的防護(hù)網(wǎng)。

IPS防御系統(tǒng)的理論知識大家可以去查看具體的書籍，這不是筆者這里要重點討論的內(nèi)容。筆者這里需要強(qiáng)調(diào)的是，在部署IPS系統(tǒng)時需要注意的內(nèi)容。

三、IPS選購時要選品牌、看技術(shù)實力

IPS與普通的安全產(chǎn)品不同，其核心的內(nèi)容就是技術(shù)。具體的說，就是檢測引擎。雖然現(xiàn)在市面上提供IPS產(chǎn)品的廠商有很多。但是根據(jù)筆者的了解，其效果是層次不齊。有些IPS產(chǎn)品，雖然打著ISP旗號，但是基本上起不到IPS的功能。這主要是因為檢測引擎等核心技術(shù)，各個廠商都非常的看重。有些技術(shù)實力稍微薄弱一點的企業(yè)，就無法研發(fā)完善的檢測引擎。而由于缺乏這個核心的技術(shù)，則IPS功能就只成了一個擺設(shè)。

為此企業(yè)在選購IPS防御系統(tǒng)的時候，主要需要關(guān)注的是廠商的技術(shù)實力。簡單的說，就是需要選品牌的。國內(nèi)在這一塊做的不錯的，主要有聯(lián)想與華為等幾家廠商。如聯(lián)想的檢測引擎，會對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行收集和檢測分析，并能夠依據(jù)設(shè)定的安全策略對違反預(yù)設(shè)策略的事件實施阻斷或者限制的操作。同時實時的向LEMSServer(相當(dāng)于是一個日志服務(wù)器) 傳送報警信息和事件過程記錄。華為公司的IPS檢測系統(tǒng)，采用的是其自主研發(fā)的FIRST(基于精確狀態(tài)的全面檢測)檢測引擎。這個檢測引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測。

筆者仔細(xì)研究過這兩家企業(yè)的IPS防御系統(tǒng)。發(fā)現(xiàn)確實能夠?qū)eb服務(wù)器的安全起到不可替代的作用。而且兩家廠商的技術(shù)實力都比較雄厚，為此對于檢測引擎的升級也比較快。能夠在最短的時間內(nèi)，發(fā)現(xiàn)可疑的攻擊行為。

四、IPS選購時需要關(guān)注其涉及的層面

在文章一開始，筆者就談到過，Web服務(wù)器從上到下可以分為三層。如果任何一層出現(xiàn)漏洞，那么都會給服務(wù)器帶來致命的打擊。為此我們在選擇IPS防御系統(tǒng)的時候，也需要關(guān)注，其選擇的產(chǎn)品到底是否能夠?qū)@個三個層面構(gòu)成一個立體的防御體系。

如針對Web網(wǎng)頁程序的攻擊，管理員需要評估產(chǎn)品是否會分析網(wǎng)頁程序ud每一個HTTP請求，并根據(jù)常見的網(wǎng)頁漏洞原理對每個客戶端提交的HTTP請求進(jìn)行攻擊特征匹配。如果發(fā)現(xiàn)有可疑的請求，能夠自動將攻擊報文阻斷并報警。

而對于中間層來說，需要IPS防御系統(tǒng)能夠分析跟蹤Web服務(wù)器中間層組建的攻擊特點以及常見的漏洞，并在IPS系統(tǒng)中實現(xiàn)核心的防護(hù)措施。如對于SQLServer數(shù)據(jù)庫服務(wù)器來說，IPS系統(tǒng)需要根據(jù)已有的信息，來判斷SQLServer服務(wù)器是否存在可以被攻擊的漏洞等等。

對于底層的操作系統(tǒng)來說，需要IPS系統(tǒng)能夠?qū)ζ涮峁┓雷o(hù)。如系統(tǒng)需要分析常見操作系統(tǒng)的每一個可以被遠(yuǎn)程利用的漏洞，分析漏洞的原因和利用這個漏洞發(fā)生攻擊的常見手段。并從歷史的攻擊案例中分析出攻擊的特征。然后將這個結(jié)果與現(xiàn)有的數(shù)據(jù)流進(jìn)行匹配，以判斷是否有可以的攻擊行為。

在選型時，安全技術(shù)人員需要評估IPS能否在以上三個層面提供足夠安全的技術(shù)保障。如果不能股從技術(shù)層面進(jìn)行測試的話，那么至少要看看其是否通過了相關(guān)的國際認(rèn)證。如對于操作系統(tǒng)層的防火，可以考察其是否通過了微軟的MAPP認(rèn)證。因為只要通過了這個認(rèn)證，那么廠商就可以提前獲得微軟的漏洞信息(在微軟正式發(fā)布漏洞聲明之前)。對于安全防護(hù)來說，有時候時間就是生命。提早一步知道系統(tǒng)的漏洞，那么就可以在攻擊者發(fā)起攻擊之前就采取防護(hù)措施。

另外有些廠商提供的IPS防御系統(tǒng)，其關(guān)注的內(nèi)容并不是很全面。如只管住中間層和Web網(wǎng)頁程序?qū)拥膬?nèi)容。他們認(rèn)為操作系統(tǒng)層的安全可以有系統(tǒng)管理員來負(fù)責(zé)或者由微軟的Update服務(wù)來實現(xiàn)。雖然這也有一定的道理，但是其會增加管理人員的工作量。需要同時從多個平臺上來可以Web服務(wù)器的安全。這不是很理想。

五、根據(jù)Web服務(wù)器的規(guī)模來選擇不同規(guī)格的產(chǎn)品

Web服務(wù)器是一個很特殊的應(yīng)用。其客戶多則有上億，而少則可能只有幾百個(如一個B/S架構(gòu)的OA應(yīng)用)。這就對IPS的選型提出了一個額外的挑戰(zhàn)。因為所有的通信都需要經(jīng)過IPS系統(tǒng)的檢測。為此對于其性能肯定會造成一定程度的影響。

當(dāng)Web服務(wù)的并發(fā)性訪問數(shù)量比較高時，這個負(fù)面影響會非常的嚴(yán)重。此時對于IPS服務(wù)器就需要采用比較高的配置，以縮短檢測過程所占用的時間。而對于規(guī)模比較小的應(yīng)用，其流量本身就不是很大，此時采用的配置可以底一點。畢竟一分錢一分貨。安全防護(hù)網(wǎng)高配置與低配置在最后的結(jié)果上可能沒有多少的差異，但是在性能上會相差很多。當(dāng)然在價格上，也是一個天上、一個地下。

總之，在選擇IPS防御系統(tǒng)的時候，要根據(jù)自己企業(yè)的Web規(guī)模來選擇合適的規(guī)格。此時主要是從IPS的吞吐量，即性能角度進(jìn)行考慮。一個基本的原則，就是盡可能的減少由于采用了IPS系統(tǒng)而給用戶帶來的負(fù)面影響。

【編輯推薦】

1. 網(wǎng)絡(luò)安全知識之抵御黑客入侵的竅門
2. 主動式網(wǎng)絡(luò)安全策略抵御網(wǎng)絡(luò)威脅
3. 網(wǎng)絡(luò)安全廠商齊聚 戰(zhàn)爭再次升級
4. 中小企業(yè)的網(wǎng)絡(luò)安全應(yīng)用
5. 地獄黑客的十大網(wǎng)絡(luò)安全建議