【51CTO.com獨家特稿】現(xiàn)狀分析：

趙明：網(wǎng)站運維經(jīng)理

視頻中提出2個問題：

1、利用安全防護方案預防攻擊的發(fā)生。

2、當被攻擊時，能及時報警，阻斷并記錄黑客行為特性。

當前網(wǎng)站拓撲圖如下：  

通過視頻，知趙明運維的網(wǎng)站被黑客攻擊，網(wǎng)站被改。

當前的網(wǎng)站拓撲圖中只有一個負載均衡器，可能是通過負載均衡器的防火墻功能代替了防火墻類設備。

網(wǎng)站架構為2層結構，前臺WEB，后臺DB。

解決方案：

1、安裝安全設備

在網(wǎng)絡前端架設IPS設備，WAF防火墻，配置一臺專用日志服務器，拓撲如下  

說明：

① IPS即入侵保護系統(tǒng)，IPS完全實現(xiàn)防火墻的功能；具有IDS的所有特性。以串聯(lián)接入網(wǎng)絡，比旁路IDS防御效果好，能夠有效阻斷入侵連接。

IPS功能介紹

針對不同的網(wǎng)絡環(huán)境和安全需求，基于安全區(qū)、IP地址（組、段）、規(guī)則（組、集）、時間、動作等對象，制定不同的規(guī)則和響應方式。

主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問、蠕蟲病毒、木馬后門、間諜軟件等，而且針對僵尸網(wǎng)絡提供主動防御，廣泛精細的應用防護幫助用戶避免安全損失。

支持安全區(qū)（Zone），支持路由、透明、混合三種工作模式，支持五種安全區(qū)模式：透明（Layer2）、路由（Layer3）、監(jiān)聽（Monitor）、直通（Direct）、管理（Mgt），能夠快速部署在各種網(wǎng)絡環(huán)境中。還支持失效開放（Fail-open）機制和雙機熱備（HA），避免單點故障。

豐富的響應方式，包括主動響應（丟棄數(shù)據(jù)包、丟棄連接會話）、被動響應（與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmp trap），用戶可自定義，滿足各種需要。

IPS配置建議：

禁止所有非開放端口；

只允許外網(wǎng)到WEB的主動訪問；

禁止WEB到外網(wǎng)的主動訪問，按需求開放部分連接，如補丁升級、病毒升級等。主要防止WEB服務器中病毒木馬之間的反向連接。

做好阻斷規(guī)則配置。

做好日志。

上線測試。

② WAF即WEB應用防火墻，它主要是針對WEB應用層防護。

WAF功能介紹

WEB應用防火墻稱WAF，提供了一種安全運維控制手段：基于對HTTP/HTTPS流量的雙向分析，為WEB應用提供實時的防護。與傳統(tǒng)防火墻/IPS設備相比較，WAF最顯著的技術差異性體現(xiàn)在：

1. 對HTTP有本質的理解：能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding）；提供嚴格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力。

2. 提供應用層規(guī)則：WEB應用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊。

3. 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為WEB應用提供了一個外部的輸入驗證機制，安全性更為可靠。

4. 提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊。

WAF配置建議：

按實際需求開放最小權限；

做好阻斷規(guī)則配置。

做好日志。

上線測試。

為提高WAF性能，建議關閉其它附帶功能。

③ 日志服務器。直接連IPS和WAF，為這兩個設備做日志，主要用于事后分析。虛線連交換機，是為了方便管理，但存在安全隱患，如不是十分必要不建議連接。

④ IPS和WAF為均為單臺串行接入，存在單點故障，可以考慮雙機模式，提高可用性。

2、WEB服務器軟件安全

① 操作系統(tǒng)補丁、應用系統(tǒng)補丁、中間件系統(tǒng)補丁、數(shù)據(jù)庫系統(tǒng)補丁、防病毒系統(tǒng)升級更新等等。

② WEB服務器，源代碼安全評估。

當今的WEB安全主要集中在應用層面，也就是代碼安全，雖然我們安裝了安全設備（IPS、WAF），但這些安全設備都是安全防御，對于正常的訪問（或者說被這些安全設備認為是正常的）安全設備是放行的，如果這段代碼有問題同樣會出大問題。

建議1：WEB前后臺代碼完全剝離。

建議2：有條件的話，找專業(yè)安全廠商進行代碼安全評估。

③ DB服務器安全設置，敏感操作要做日志等。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 給趙明的網(wǎng)站安全整改方案
2. 使用ModSecurity 保護Web服務安全(拯救趙明)