【51CTO.com獨家特稿】有很多人都認可“沒有Web，就沒有Internet”。Web 服務(wù)是一種可以用來解決跨越網(wǎng)絡(luò)應(yīng)用集成問題的開發(fā)模式，這種模式為實現(xiàn)“軟件作為服務(wù)”提供了技術(shù)保障。觀看了趙明同學(xué)設(shè)計的網(wǎng)絡(luò)拓撲結(jié)后，我只能說這個哥們的膽子是在太大了，在沒有任何防御手段前，就干利用一臺負載均衡器直接掛接在Internet上，看來他抽煙還是抽的少。而“軟件作為服務(wù)”實質(zhì)上是一種提供軟件服務(wù)的機制，這種機制可以在網(wǎng)絡(luò)上暴露可編程接口，并通過這些接口來共享站點開放出來的功能。可是在很多情況下，Web應(yīng)用程序及 Web站點往往易遭受到各種各樣的攻擊，數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中也很容易被竊取或盜用。

Web的外圍防御何等重要  

◆Web服務(wù)的安全涉及了很多內(nèi)容，我們可以從他可能受到的攻擊上看，例如對WEB應(yīng)用程序的破壞、繞過驗證與Session驗證、獲取管理權(quán)限、獲取資源、針對主機漏洞與WEB安全漏洞攻擊、跨站腳本攻擊及SQL注射攻擊等等。另外，硬件與物理環(huán)境的錯誤，也都會導(dǎo)致資源無法被客戶端訪問到。安全面的Web安全防御要從以下幾個方面入手，構(gòu)建出一個安全的防御架構(gòu)： 

◆資源保護：對于重要資源，如數(shù)據(jù)庫中或文件系統(tǒng)上的數(shù)據(jù)；物理環(huán)境，如UPS供電、磁盤冗余、雙機冗余；Internet訪問接口的訪問控制，數(shù)據(jù)的授權(quán)與認證訪問。 

◆威脅和威脅建模：所有類型的威脅包括網(wǎng)絡(luò)威脅、主機威脅、與應(yīng)用的威脅；重點放在Web應(yīng)用的威脅，如：SQL注入、跨網(wǎng)站腳本、輸入篡改、劫獲會話等；掌握威脅建模的方法與步驟，使你能系統(tǒng)地全面地了解Web應(yīng)用可能的威脅。 

◆程序缺陷與服務(wù)漏洞：包括操作系統(tǒng)在某方面的弱點或特性，以及它有可能造成威脅的發(fā)生。網(wǎng)絡(luò)、主機或應(yīng)用程序編寫過程中可能存在缺陷。

◆攻擊與對策：100%的安全是不存在的，當(dāng)某人或者設(shè)備采取的危害資源的行為之后，應(yīng)對威脅、減小危險的安全措施。最后是應(yīng)急響應(yīng)、犯罪證據(jù)的取證，以及災(zāi)難恢復(fù)工作的執(zhí)行效率。

缺少防火墻保護

趙明連最基本的防護都沒有建立起來，我想還是讓我們也從最基礎(chǔ)的安全設(shè)備來慢慢解決問題吧。我試問趙明一個問題，如今的網(wǎng)絡(luò)中，還有那個網(wǎng)絡(luò)是沒有防火墻的呢？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。大多數(shù)對外部提供服務(wù)的Web服務(wù)器都放在DMZ區(qū)域或內(nèi)部網(wǎng)絡(luò)中，對外部和內(nèi)部用戶授予不同的訪問權(quán)限。對于配備了專用防火墻的網(wǎng)絡(luò)，此項任務(wù)可以在防火墻上完成，這樣可以減輕路由器的負擔(dān)。對于沒有配備專用防火墻的簡易網(wǎng)絡(luò)，采用動態(tài)分組過濾技術(shù)建立對重要服務(wù)器的訪問限制就顯得尤為重要。  

圖：最普通的硬件防火墻內(nèi)部結(jié)構(gòu)

當(dāng)然，無論是基于路由器實現(xiàn)，還是在防火墻上完成設(shè)置，首先都應(yīng)該制定一套訪問規(guī)則。如：允許外部用戶到Web服務(wù)器的向內(nèi)連接請求，已經(jīng)允許Web服務(wù)器到外部用戶的向外答復(fù)等等。在多數(shù)的網(wǎng)絡(luò)中，我們不可能將Web主機直接曝露在Internet上，所以使用NAT（Network Address Translation，網(wǎng)絡(luò)地址翻譯）技術(shù)，將局域網(wǎng)中Web服務(wù)器的內(nèi)部地址翻譯成合法的Internet IP地址使用，這是提高Web主機安全性的普遍做法。

反向代理與防火墻的集成應(yīng)用

不過話又說回來了，即使使用了防火墻技術(shù)，我們還有可能遭受入侵攻擊導(dǎo)致服務(wù)器癱瘓或網(wǎng)頁被篡改，這是因為無法避免Web服務(wù)器的真實數(shù)據(jù)暴露在網(wǎng)絡(luò)外部。而大多管理員都在使用包過濾型的防火墻保護對外發(fā)布Web的信息，但傳統(tǒng)意義上的包過濾防火墻有很多弊病，歸納起來有三點： 

◆通信方面：包過濾防火墻只能訪問部分數(shù)據(jù)包的頭信息； 

◆狀態(tài)監(jiān)管：包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息； 

◆信息處理：包過濾防火墻處理信息的能力是有限的。

比如，教科書上都講IIS Unicode攻擊，以及最近流行的“注入技術(shù)”，因為這種攻擊是選擇了防火墻所允許的80端口，而包過濾的防火墻無法對數(shù)據(jù)包內(nèi)容進行核查，此時防火墻等同于虛設(shè)，即使在防火墻的屏障之后，也會被攻擊者輕松拿下超級用戶的管理權(quán)限。

另外一種做法就是使用反向代理技術(shù)，反向代理服務(wù)器可以避免有效的減少上述攻擊。它對外就表現(xiàn)為一個Web服務(wù)器，不同之處在于的這個服務(wù)器沒有保存任何網(wǎng)頁的真實數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。因此對反向代理服務(wù)器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強了Web服務(wù)器的安全性。

反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設(shè)備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問能力。因此可以結(jié)合這些方式提供最佳的安全訪問方式。

綜合反向代理功能和普通拒絕外部訪問的普通防火墻軟件相結(jié)合，就能構(gòu)成一個既具有保護內(nèi)部網(wǎng)絡(luò)、又能對外提供Web信息發(fā)布的能力的防火墻系統(tǒng)。由于反向代理能力需要軟件實現(xiàn)，因此不能使用現(xiàn)有的防火墻系統(tǒng)，需要使用相關(guān)軟件進行開發(fā)改進。Unix顯然是首選平臺，我們基于FreeBSD系統(tǒng)，提出一種基于ipfw、natd與squid的防火墻設(shè)置方式。其中ipfw可以基于ip地址、端口、協(xié)議等對ip包進行過濾，natd提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)的拓撲等信息，ipfw和natd結(jié)合就構(gòu)成了強大的包過濾網(wǎng)關(guān)。而squid是Internet上最流行的Web代理服務(wù)器之一，雖然它提供的是普通的正向代理能力，但其為開放源代碼軟件，并且具有強大的可配置性，因此很容易可以將其更改為反向代理服務(wù)器。

網(wǎng)絡(luò)架構(gòu)的調(diào)整與部署

針對趙明設(shè)計的拓撲，如下圖：  

我們可以從客戶端的角度（正常訪問和黑客攻擊）重新修改此網(wǎng)絡(luò)結(jié)構(gòu)，做到外圍安全調(diào)整的目的?；卷樞驗椋嚎蛻舳?→防火墻→負載均衡器→反向代理（緩存）→WEB服務(wù)器→數(shù)據(jù)庫服務(wù)器，其結(jié)構(gòu)如下：  

假設(shè)，原來設(shè)計上的負載均衡服務(wù)器采用了Nginx，那么這個網(wǎng)站就可以建立在“混元”或者是硬件“防火墻+開源”的基礎(chǔ)上重新設(shè)計和部署，例如采用： 

◆Cisco的防火墻：建立基本W(wǎng)eb通信和訪問防護 

◆eAccelerator：加速PHP引擎，同時也可以加密PHP源程序 

◆memcache：用于高速緩存常用數(shù)據(jù) 

◆libevent：memcache工作機制所需 

◆MySQL：原數(shù)據(jù)庫 

◆Nginx：用做負載均衡器 

◆Squid：做反向代理的同時提供專業(yè)緩存功能防止網(wǎng)頁篡改   至此，我已經(jīng)大致的Web外圍防護中的一些概念、用途以及實現(xiàn)的方法，而基于篇幅的原因，有一些內(nèi)容需要趙明自行去查閱更多的技術(shù)資料才能找到答案，不過也都是以上這些軟件具體的安裝步驟了。但愿趙明能夠“軟硬兼施”，確保網(wǎng)站的安全運維。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】  

【編輯推薦】

1. 給趙明的網(wǎng)站安全整改方案
2. “標本兼治”救趙明將黑客“拒之門外”