給趙明的網(wǎng)站安全整改方案
原創(chuàng)【51CTO.com獨(dú)家特稿】1. 網(wǎng)站現(xiàn)狀與存在的問(wèn)題分析
不了解現(xiàn)狀,不分析現(xiàn)狀,不找到問(wèn)題,就無(wú)從談起方案整改,為此我們先分析下趙明的網(wǎng)站網(wǎng)絡(luò)安全現(xiàn)狀。
這個(gè)圖是視頻最后提供的一份網(wǎng)絡(luò)拓?fù)洌瑥倪@份拓?fù)渖?,我們可以了解如下信息?/P>
1) 趙明負(fù)責(zé)維護(hù)的網(wǎng)站,主要提供web服務(wù),并且有2臺(tái)web應(yīng)用服務(wù)器同時(shí)提供服務(wù);
2) web服務(wù)器后臺(tái)存在獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器
3) 互聯(lián)網(wǎng)接入,首先連接的是負(fù)載均衡器,并由該設(shè)備采用負(fù)載均衡方式將流量分配到主、被web應(yīng)用服務(wù)器,保證系統(tǒng)高效運(yùn)行;
4) 整改網(wǎng)絡(luò)上沒(méi)有網(wǎng)絡(luò)安全防護(hù)設(shè)備,沒(méi)有對(duì)重要服務(wù)器進(jìn)行獨(dú)立保護(hù)。
從上述信息,我們可以分析得到所存在的主要安全技術(shù)問(wèn)題如下::
1) 互聯(lián)網(wǎng)接入邊界,沒(méi)有防護(hù)設(shè)備,互聯(lián)網(wǎng)對(duì)應(yīng)用服務(wù)器的訪問(wèn)不受任何訪問(wèn)控制與檢測(cè),容易遭受來(lái)自互聯(lián)網(wǎng)的各種攻擊,包括Dos/DDos、SQL注入等等;
2) 網(wǎng)絡(luò)內(nèi)部,沒(méi)有將主/備應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)等進(jìn)行獨(dú)立保護(hù),他們之間的網(wǎng)絡(luò)互訪沒(méi)有任何限制;
3) 網(wǎng)絡(luò)內(nèi)部沒(méi)有網(wǎng)絡(luò)流量審計(jì)系統(tǒng),對(duì)于來(lái)自互聯(lián)網(wǎng)的訪問(wèn),沒(méi)有進(jìn)行審計(jì)記錄,無(wú)法追查任何惡意訪問(wèn)、攻擊事件。
此外,我們?cè)诓シ诺内w明視頻中,還可以很容易的發(fā)現(xiàn)所存在的管理問(wèn)題:
1) 工作時(shí)間休息開(kāi)小差——睡覺(jué),即使有網(wǎng)絡(luò)監(jiān)控設(shè)備,也會(huì)因?yàn)闆](méi)有技術(shù)人員的適當(dāng)操作配合,而讓入侵繼續(xù)造成破壞;
2) 沒(méi)有應(yīng)急方案,發(fā)現(xiàn)入侵,只是憤慨,沒(méi)有相應(yīng)的應(yīng)對(duì)操作流程。
2. 整改目標(biāo)
針對(duì)上述存在的問(wèn)題,我們可以很容易確定本次整改方案目標(biāo):
1) 提升整改網(wǎng)絡(luò)、對(duì)外應(yīng)用服務(wù)器的抗攻擊能力;
2) 實(shí)現(xiàn)對(duì)攻擊事件、訪問(wèn)事件的實(shí)時(shí)監(jiān)控能力;
3) 通過(guò)合理的網(wǎng)站備份,能及時(shí)恢復(fù)受攻擊的網(wǎng)站;
4) 制定安全管理、安全運(yùn)維、應(yīng)急操作管理制度和流程。
3. 整改方案說(shuō)明
3.1. 網(wǎng)絡(luò)拓?fù)?/STRONG>
3.2. 方案說(shuō)明
安全區(qū)域劃分
如圖示,劃分為主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫(kù)服務(wù)器區(qū)、備用服務(wù)器區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),安全區(qū)域劃分后,可以很方便明確哪個(gè)區(qū)域容易遭受攻擊,哪個(gè)區(qū)域需要重點(diǎn)保護(hù)等等,并且可以進(jìn)一步在相應(yīng)的區(qū)域間部署相應(yīng)網(wǎng)絡(luò)安全設(shè)備。
互聯(lián)網(wǎng)防火墻部署
如圖①所示,在互聯(lián)網(wǎng)接入邊界,部署作為基本防護(hù)措施的防火墻設(shè)備,實(shí)現(xiàn)端口級(jí)別的控制,降低到下一個(gè)設(shè)備的違規(guī)流量。
Web防火墻部署
如圖②所示,部署web防火墻,實(shí)現(xiàn)對(duì)網(wǎng)站合法端口上的各種攻擊防護(hù),如SQL注入攻擊、跨站攻擊等等,并記錄網(wǎng)站訪問(wèn)行為。
內(nèi)網(wǎng)防火墻部署
如圖③所示,部署內(nèi)網(wǎng)區(qū)域隔離防火墻,對(duì)主應(yīng)用服務(wù)器區(qū)、主數(shù)據(jù)庫(kù)服務(wù)器區(qū)、備用服務(wù)器區(qū)之間的網(wǎng)絡(luò)互訪進(jìn)行訪問(wèn)控制,隔離其他不需要的流量。
入侵檢測(cè)系統(tǒng)部署
如圖④所示,部署入侵檢測(cè)系統(tǒng),同時(shí)檢測(cè)內(nèi)網(wǎng)2個(gè)交換機(jī)的網(wǎng)絡(luò)流量,對(duì)內(nèi)部流量、互聯(lián)網(wǎng)流量進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)透過(guò)web防火墻的入侵流量,并進(jìn)行報(bào)警,必要時(shí)可以與互聯(lián)網(wǎng)接入防火墻實(shí)現(xiàn)安全聯(lián)動(dòng)。
4. 方案效果說(shuō)明
通過(guò)上述整改后的網(wǎng)絡(luò)安全方案,至少可以實(shí)現(xiàn)如下效果:
1) 在互聯(lián)網(wǎng)接入部分,同時(shí)部署有防火墻和web防火墻,可以各司其職的分別對(duì)網(wǎng)絡(luò)端口、應(yīng)用流量攻擊進(jìn)行檢測(cè)和自動(dòng)阻斷,只要設(shè)備特別是web防火墻的特征碼實(shí)時(shí)更新,基本可以防護(hù)所有的來(lái)自互聯(lián)網(wǎng)的攻擊。另外上述設(shè)備具備的日志功能,可以基本滿足對(duì)攻擊日志、日常訪問(wèn)日志的記錄和審計(jì)使用;
2) 在內(nèi)網(wǎng),按照應(yīng)用系統(tǒng)的安全級(jí)別、使用方式等進(jìn)行安全區(qū)域劃分,并通過(guò)內(nèi)網(wǎng)防火墻實(shí)現(xiàn)區(qū)域間訪問(wèn)控制,進(jìn)一步加強(qiáng)內(nèi)部網(wǎng)絡(luò)互訪控制措施;
3) 在內(nèi)網(wǎng)部署入侵檢測(cè)系統(tǒng),是作為web防火墻的補(bǔ)充和二次檢測(cè)使用,建議此處使用與web防火墻不同品牌的入侵檢測(cè)系統(tǒng),使用不同的攻擊代碼特征庫(kù),實(shí)現(xiàn)互補(bǔ)措施,并且通過(guò)該設(shè)備,可以對(duì)網(wǎng)絡(luò)內(nèi)部、互聯(lián)網(wǎng)流量情況進(jìn)行報(bào)表分析,便于管理員實(shí)施了解網(wǎng)絡(luò)訪問(wèn)狀況。
其他方面,“三份技術(shù),七分管理”,是經(jīng)常提起的一句話,現(xiàn)狀也說(shuō)明趙明的運(yùn)維確實(shí)存在安全管理問(wèn)題,所以建議趙明完善網(wǎng)絡(luò)安全運(yùn)維制度、應(yīng)急響應(yīng)操作規(guī)范等制度規(guī)范,不要再工作時(shí)間睡覺(jué),不要再發(fā)現(xiàn)入侵時(shí)無(wú)所事事。
【51CTO.COM 獨(dú)家特稿,轉(zhuǎn)載請(qǐng)注明出處及作者!】
【編輯推薦】