【51CTO.com 綜合消息】1 存在問題及安全需求

由于趙明所在企業主要業務是依托網站的，當網站不能正常訪問或是，影響公眾訪問，將給公司帶來很大負面影響，甚至可能直接影響到公司的生存問題，因此建設好趙明所在公司的安全具有戰略意義，也是迫在眉睫的事情。

從現狀看，趙明所管理的網站安全現狀不容樂觀，目前并沒有統一的安全防護措施，甚至沒有部署基本的防病毒系統。安全還處于空白階段，因此存在很多安全隱患,主要有：

1.1 網絡邊界安全脆弱

在整個網絡架構中，沒有設置任何邊界訪問控制手段。這對于其他外部網絡來說，沒有邊界訪問控制相當于整個網絡不設防，可以任意訪問甚至入侵。

Web服務器承載公司關鍵業務，一旦被非法入侵可能造成不可估量的損失。也給黑客和不法分析入侵創造了條件，因此Web服務器面臨著嚴重的安全威脅，概括這些威脅數據流主要有：惡意攻擊和病毒傳播兩類類威脅。 

◆惡意攻擊

外部惡意進入網絡后的攻擊行為和內部員工的惡意攻擊行為一般都是以重要服務器作為攻擊目標，以應用層攻擊為主，也有個別的網絡層攻擊，一般以竊取、修改或者試圖破壞內部的資源為目的，Web服務器就可能成為被攻擊的目標。為了保護Web服務器需要對惡意攻擊進行阻止和審計。

應當在趙明所在企業的數據中心進行網絡邊界安全建設，阻止安全風險任意擴散。

1.2 數據防篡改

趙明所在公司在線的關鍵業務等最重要數據，存在以下風險： 

◆篡改數據

篡改數據威脅包括對數據的惡意修改。 例如，黑客或者間諜對網站頁面進行未經授權的更改（如網站毀壞），或者對數據庫中的信息或者兩臺計算機之間在開放網絡上流動的數據進行未經授權的更改。

需要對在趙明所在企業網站上部署網頁防篡改系統，并能對網頁等重要數據和信息進行有效加密，避免黑客篡改數據。

1.3 需要監控內網

服務器非常容易成為黑客和蠕蟲病毒攻擊的主要目標，這也就意味著服務器的安全風險等級較高。特別是在B/S模式流行的今天，大量采用PC終端，PC終端的漏洞是安全管理最大的隱患。總結計算區域的安全風險主要包括以下幾個方面： 

◆應用系統自身的漏洞

應用系統自身由于設計或程序上的缺陷，可能存在各種漏洞，例如WEB應用服務的安全漏洞，可能導致WEB服務器容易被黑客攻擊，篡改網頁，使得WEB服務器無法提供正常WEB應用訪問服務，最嚴重的事篡改和竊取金融數據，會導致不可估量的損失。

1.4 需求分析總結

序號 需求總結 解決方案

1 針對Web服務器 需要在Web服務器前部署IPS

2 網頁等數據防篡改 部署網頁防篡改系統#p#

2 方案

2.1 入侵防御系統方案

2.1.1 什么是入侵防御系統

入侵防護系統（Intrusion Prevention System，以下簡稱“IPS”）是繼“防火墻”、“信息加密”、入侵檢測等傳統安全保護方法之后的新一代安全保障系統。IPS 串行部署在網絡關鍵節點，監視計算機系統或網絡中發生的事件，并進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并主動進行有效攔截。

專業IPS 所具有的實時性、動態檢測和主動防御等特點，彌補了防火墻等靜態防御工具的不足。入侵防護系統現在已經發展到第三代產品：“第一代”IPS 在入侵檢測基礎上增加了主動攔截的功能；“第二代”IPS 引入了硬件加速技術，大大提高了IPS 的檢測性能；而“第三代”IPS是在“第二代”的基礎上豐富完善了上網行為管理功能。

2.1.1.1 入侵防御功能分析

聯想網御IPS 采用具有自主知識產權的VSP（Versatile Security Platform）通用安全平臺，集成了流狀態跟蹤、協議分析、深度內容解析、異常檢測、關聯分析等多種分析、檢測技術，配合實時更新的事件特征庫，可攔截蠕蟲、病毒、木馬、間諜軟件、DDoS/DoS、SQL 注入、XSS 跨站腳本等各種網絡攻擊行為，有效凈化網絡流量。

同時提供豐富的上網行為管理功能，可對P2P 下載、IM 聊天軟件、在線視頻、網絡游戲、炒股軟件、加密隧道等網絡應用按用戶和時間進行阻斷或精確到1Kbps 的帶寬限流，合理優化網絡流量。從而，很好地彌補了防火墻、入侵檢測等產品的不足，提供了動態、主動、深度的安全防護。

聯想網御 IPS 作為業內首款“內外兼修”的入侵防護系統，通過訪問控制、入侵防護功能，可以有效攔截外網攻擊；綠色上網、帶寬管理等功能，可以合理管控內網應用。 

◆入侵防護

可檢測掃描、DoS/DDoS、緩沖區溢出、SQL 注入、XSS跨站腳本、木馬、蠕蟲、間諜軟件、網絡釣魚、IP poofing等攻擊，并實時主動阻斷，使網絡系統免受攻擊。

在MAC Layer中檢測及響應，提高系統效率。 

◆訪問控制

支持基于網絡接口、IP 地址、服務、時間等參數自定義訪問控制規則，以保證網絡資源不被非法使用和非法訪問。 

◆綠色上網

綠色上網提供基于軟件行為和數據內容而不是端口的軟件應用檢測機制，可對聊天軟件、P2P 下載、流媒體、在線游戲、股票軟件等進行管控，以提高企業工作效率，降低內部機密信息泄露及病毒傳播的機率。 

◆帶寬管理

支持基于網絡行為（主要是P2P、流媒體）、IP 地址、協議、等，進行帶寬限流，以提高網絡帶寬利用率。

2.1.1.2 入侵防御性能分析 

◆檢測精準

聯想網御IPS 采用Smart Filter 行為跟蹤分析技術，跟蹤應用層行為特征，應對端口變形、隧道加密等各種規避手段，從而準確識別各種應用：

SQL 注入、跨站腳本等各種應用層攻擊檢測；

P2P、IM、在線游戲等應用軟件的檢測； 

◆可靠性高

聯想網御 IPS 具有多層次的冗余功能，能提供最高等級的高可用性，并方便用戶靈活配置。

1. 高端設備標配可熱插拔的冗余雙電源

確保任一電源失效時可自動由備用電源供電，不停機即可修復，避免電源硬件故障時設備失去作用。

2. 內置軟/硬件BYPASS 功能

在設備出現硬件及電源故障時快速、自動切換到直通狀態，保障網絡可用性。此外不管是因為硬件或是軟件的因素，當檢測引擎出現死鎖狀況，內置BYPASS 也會自動切換到直通狀態，用戶無須擔心設備的可靠度。內置BYPASS 功能可通過遠程管理實現啟動或關閉管理。

3. 支持HA、集群部署

采用 MRP（Multi-Layers Redundant Protocol）多重冗余協議技術，在并發連接數達到數百萬時亦可有效地在聯想網御IPS 設備之間實現同步。相較于一般采用Linux ct_sync模塊或是FreeBSD pfsync 模塊的產品，聯想網御的同步技術僅需要5.8%的數據量，不會因為HA 的數據影響偵測引擎的速度。 

◆部署靈活

聯想網御IPS 支持透明、交換、路由、混合、HA 集群部署等多種部署方式，適應各種復雜網絡環境的需求。  

【圖1部署拓撲】 

◆帶寬管理

聯想網御IPS 與內網安全管理產品的協同防護減輕了IPS 的網絡負擔，可最終確定威脅點進行阻斷。其次，響應的手段有通知、斷網、鎖定，可強制、準確的對發生威脅的終端計算機進行修復。聯想網御IPS 與內網安全管理產品的協同防護是完全的流程管理（無人值守），預策略的制定、執行，減輕了網管人員網絡維護的壓力，最終對企業的內部網絡進行全方位的安全保護。#p#

2.1.1.3 典型部署  

◆外網防護解決方案

聯想網御 IPS 均內置了USE 統一安全引擎，無論是 DoS/DDoS、Flooding attck 、Worm Virus 、Trojan 亦或是各種黑客入侵手法，聯想網御IPS 均可提供有效的防御保護。

在【圖 2】外網防護解決方案的網絡拓樸中將IPS 部屬于防火墻之前，主要目的是防御來自于外網針對防火墻和內網的攻擊。防火墻往往是攻擊的對象重點，一旦防火墻遭到攻擊后，將會有很大的機會造成網絡中斷。且防火墻僅具有四層封包解析的功能，對于利用七層的黑客攻擊手法或是利用合法掩護非法的網絡行為便無法有效管控。通過IPS 的保護，除了對于來自外網針對內網或防火墻的暴力攻擊能夠有效阻擋之外，對于所有進出的封包均進行詳細的七層分析，黑客利用合法方式進行非法存取的攻擊將無所遁形。  

【圖 2】外網防護解決方案拓撲圖 

◆服務器保護解決方案

將聯想網御 IPS 部屬于防火墻之前可以保護來阻止來自外網的攻擊，但是仍有可能遇到來自于內網的攻擊威脅。隨著移動式設備如電腦筆記本、PDA 的普及，來自于內網的攻擊威脅也隨之增加。對于提供重要數據服務的服務器群組仍有可能遭受到來自內網的攻擊威脅。  

【圖 3】服務器保護解決方案拓撲圖

2.1.2 入侵防護系統IPS的部署

本次部署的網絡入侵防護系統位于Web主備服務器之前，Web服務器區的數據是最安全敏感的數據，安全級別最高，所以部署IPS首先考慮服務器區。

入侵檢測系統解決的安全問題包括：

阻止漏洞攻擊：針對黑客入侵，聯想網御IPS 采用USE 統一安全引擎，具備基于協議異常、會話狀態識別和七層應用行為等攻擊識別功能。并且可針對Windows、Unix、Linux 等操作系統漏洞的攻擊進行阻止，漏洞類型包括了Stack and Heap Buffer overflow、Format string error、Memoryaccess error、Memory corruption、 Access control and Design weakness 等等。

阻止木馬傳播：可檢測基于ActiveX、XML、VML、MDAC 等的漏洞，可阻止訪問者在瀏覽網站時被誘使植入木馬的攻擊；可檢測利用Dropper 技術隱藏木馬的Microsoft Office 文件，可阻止下載并啟動這些文檔；如 Rootkit 的木馬，它們被黑客植入系統后也會跟外界通訊或進行掃描等，聯想網御IPS 可以偵測這些特殊的行為。

阻止間諜軟件：大部分間諜軟件由于是通過廣告、瀏覽器漏洞、自訂功能如ActiveX 插件來誘使不夠小心謹慎的用戶安裝的。聯想網御IPS 內置如Gator、180solutions、Internet Optimizer Spyware 等相關的特征，通過檢測下載可執行程序、ActiveX、Java applet 等可疑的活動，實現阻止間諜軟件通過廣告、瀏覽器漏洞、自定義ActiveX 插件等渠道實現安裝。

抗 DoS/DDoS：聯想網御IPS 提供獨特的DoS/DDoS 檢測及預防機制，可以辨別合法數據包以及DoS/DDoS 攻擊數據包，支持雙向阻斷TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMPSmurfing 等類型的DoS/DDoS 攻擊。

異常流量管理：聯想網御IPS 會將每秒所紀錄的數據包，依據不同的來源作統計。先通過數據轉換，給予正規化，然后再與標準模式(baseline)作比較。如果實際的網絡流量統計結果與標準模式偏離到達某一定的水平，便會產生警報。此作法的優點為，由于網絡流量已經正規化，單純因為流量大而產生誤判的情形得以避免；而標準模式的采用也來自學術研究的成果，可以符合大部分的網絡環境狀況。

綠色上網功能：聯想網御IPS 不僅具有精準的入侵檢測和防護功能，同時還具有豐富的上網行為管理功能。可以根據不同的時間、群組，來對即時聊天軟件、P2P 軟件、非法隧道等下達嚴格的管理策略。

產品部署網絡拓撲圖如下：  

【圖 4】 入侵防御部署圖 #p#

2.2 網頁防篡改解決方案

2.2.1 網頁防篡改系統設計

根據對趙明所在的網站需求分析，系統需在主備兩個Web服務器區域分別部署UnisGurard網頁防篡改保護系統，保證網站內容不會惡意篡改，完善網站安全防護體系。

本次方案建議采用的UnisGurard網頁防篡改產品需為趙明的網站提供完整保護，采用目前最先進的系統驅動級文件保護技術，基于事件觸發式監測機制，高效實現了網頁監測與實時內容恢復功能，徹底杜絕了網站被非法篡改的可能。其性能、靈活性以及安全性遠遠高于傳統類防護技術，恢復時間達到毫秒級，支持各類網頁格式，占用系統資源極少，低于2%，無需增加額外設備，不改變現有網絡架構。

操作系統類型支持windows/Linux/Unix等。采用基于文件過濾驅動保護技術和事件觸發機制相結合方式。控制臺與客戶端之間的管理方式，分為一對一（即一個控制臺僅可管理一個客戶端）、一對多（即一個控制臺可同時管理多個客戶端）和多對多模式。

2.2.2 產品選型及服務器配置 

◆UnisGuard系統組成

UnisGuard網頁防篡改保護系統由四個關聯使用的子系統構成，分別是：

管理中心（簡稱MC）

監控代理（簡稱WA）

網絡事件監控引擎（簡稱WSP）

文件客戶端（簡稱FC）

系統的總體結構圖如下圖：  
 

WA（監控代理）

部署：運行在站點服務器上，一臺web服務器（指物理服務器，非邏輯服務器、虛擬服務器）需要且只需要部署一套WA。WA是一個后臺進程，系統啟動以后自動運行，不需要人為干預。

功能：WA設定的安全保護策略對本服務器上的站點（一個或多個，多個為虛擬站點）及數據庫進行保護，驗證客戶端系統用戶身份的合法性，防止非授權用戶對站點文件、目錄及數據庫進行非法操作和篡改；一旦網頁被篡改，與MC端合作實時恢復被篡改的網頁；系統為所有需保護的網頁計算出具有唯一性的數字水印。公眾每次訪問網頁/主頁時，系統都將訪問網頁與數字水印進行對比計算，一旦發現網頁/主頁被非法修改，則立即進行自動恢復，保證非法網頁/主頁內容不被公眾瀏覽；

WSP(網絡事件監控引擎)

部署：運行在站點服務器上，一臺web服務器（指物理服務器，非邏輯服務器、虛擬服務器）需要且只需要部署一套WSP。

功能：MC同時可以根據設置的關鍵詞對網站訪問者通過HTTP POST提交的信息進行匹配，如果命中關鍵詞，則可進行報警和阻止POST提交，保證非法信息不被發布；

MC（管理中心）

軟件版部署：根據維護工作需要，可運行在任意遠程網站維護終端上。

硬件版部署：B/S架構。

功能：對用戶進行合法身份認證，對服務器端系統進行安全保護策略設定，與服務器端系統執行通訊保護，負責管理監控代理和備份文件，以及監控信息、報警信息的審計、處理等工作。

FC（文件客戶端）

部署：該工具可以在任意一臺windows系統上安裝運行；

功能：主要負責對監控網站進行遠程維護，進行網頁文件的上傳、刪除和修改。 

◆UnisGuard功能介紹

網頁文件保護：服務器端保護系統模塊采用動態訪問控制技術，對網頁文件提供實時、動態保護，未經授權的非法訪問行為一律進行攔截，從而防止非法人員篡改、刪除受保護的文件，確保網頁文件的完整性。具有實時報警和記錄詳細日志等其他功能。支持監控保護動態網頁文件，如符合JSP、ASP、PHP、Servlet 等技術規范的文件。

網絡攻擊防護：系統實現基于內嵌于各種Web服務器中的插件，這些插件可以截獲每個訪問被監控網頁的Http請求，訪問請求進行入侵檢測規則匹配，可以防止SQL注入等常見網頁攻擊。并實時報警、并且記錄詳細日志，在入侵企圖的情況下，將自動通過E-MCil、SMS等多種方式報警，通知網站服務器管理員。

通過中心端進行站點的管理：可以通過中心端直接對各個站點進行運行狀態監控和管理。包括站點的狀態查看，對各個站點進行遠程關閉，禁用和啟用。下發報警和安全保護策略，接收客戶端的報警信息，對控管信息和報警信息進行統計分析。

網站發布：用戶通過MC系統發布頁面將網頁上傳到MC上， MC使用安全散列函數計算出網頁的數字水印，作為網頁篡改鑒別的依據。MC與WA進行相互的身份鑒別，然后MC將用戶上傳的網頁傳到Web服務器上相應的站點目錄中。

網站的備份還原：系統提供了站點數據的備份還原的功能，可對站點目錄文件和數據庫進行完整的備份，必要時可以即時還原，從多層面保障網站數據的安全。

非法網頁內容屏蔽：在網頁因為意外原因被篡改的情況下，系統自動屏蔽“非法網頁”，確保這些非法網頁不被客戶訪問，避免造成不良影響。針對不同種類的Web服務器、同一種Web服務器的不同版本編制不同插件；這個功能對每個訪問被監控網頁的Http請求都要進行校驗。

網站及論壇信息自動收集：對網站服務器上的發布的信息內容包括論壇信息內容進行自動收集，并將其存儲到MC系統數據庫中。

敏感信息自動預警和處置：系統實現基于內嵌于各種Web服務器中的插件，這些插件可以截獲每個post請求，檢測，如果發現這些網頁提交或發貼內容中包含預先設置的敏感關鍵詞，則會對相應的post請求終止處理，避免造成不良影響。

同時UnisGuard還提供實時報警、用戶管理、日志管理等多項功能。

3 整體方案優勢 

◆消除Web服務器的安全威脅

通過部署IPS，消除了Web服務器面臨的安全威脅，具有抵御各種Web攻擊的能力，并根據趙明網站特點，能夠及時阻斷來自外部的各種威脅。 

◆重點數據和信息得以重點保護

部署防篡改系統保護重點網頁和Web服務器免受黑客篡改。 

◆功能強大、性能卓越    

聯想網御IPS采用USE統一安全引擎，具備協議異常分析、會話狀態識別、動態異常流量管理和七層應用行為識別等功能，同時配合零時差更新的特征庫和自定義檢測特征功能，可檢測阻斷各種網絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接等。