【51CTO.com 獨家特稿】關于趙明，此人雖然技術一般，但卻坐到了運營經理的位子上，并且一坐就是3年多。幾年前公司初次上線網站服務器的時候，曾經找過A公司，做了一套網站硬件布局的設計和實施。以三年前的眼光來看，這套方案還算是具有一定的前瞻性。不過時隔今日，黑客的攻擊手法復雜多樣，三年前的純爺們，現在也只能變成純老頭了。

趙明的關系很硬，依稀說來和高層領導是有些牽連的，畢竟今年兩個月之間，被客服部投訴了9次，位置依然做的很牢靠。然而一次又一次的網站業務停止，他的后臺也有些罩不住了，所以才透過運營總監的口，讓他盡快拿出一個成熟方案來。上班總是聽歌看電影，這種日子也該到頭了。趙明就算拍桌子耍臉，那也是沒用的了。

趙明技術一般，但不代表不懂技術，然而說太高深的，也別指望他能明白。所以這次我拿出的方案還是以硬件產品為主，用Linux搭建的各類方案直接放棄，盡管成本上可以做到精確控制，然而搭建和維護絕對不是趙明一個人能完成的。更別提他要清晰的把這個方案復述給自己的領導了。

趙明有些感嘆，這么快運營總監就爬到自己頭上來了，還敢義正言辭的說什么“后果自負”。今天要再不撒出殺手锏，肯定要被雪藏了。

然而在我看來，趙明以運維經理的頭銜就這樣以下犯上的爬在黃曉明頭上多年，黃曉明都隱忍不發，其他他才是該感慨的那個。

閑話少說，既然趙明許了我少許好處費，那么今天加班加點也要把方案出給他！

趙明這種人國內其實非常多，對技術有一定了解，但不是精通，然后通過關系爬到了CTO或者CIO的位置，偏偏這個位置還牢固的很，其他人還不能把他踹下去。當然，作為他手下的小弟，想要自己做出成績把頭頂下去是不切實際的。真正的做法是，幫助趙明，做好這個案例，讓他升職，空出這個職位。

架構分析

趙明現在遇到的問題是網站頻繁被篡改，然而被黑的背后總是有著黑客入侵的事實。趙明急于解決問題，所以要求方案所提到的設備能夠做到快速部署，快速應用，以及從架構上來看，監控機起著對流量進行分析的作用。不過趙明在復述問題的時候，并沒有說明監控機在事后對他起到什么作用。所以這個架構要有所變動，畢竟兩臺網站服務器僅僅通過負載均衡，直接就接入了互聯網。

更改拓撲圖如下：  

增加了一臺防火墻，一臺Websense的DLP設備，將原交換機換成華為的一臺3層交換機。至于那臺監控機？因為實在不了解它到底對趙明貢獻了多少價值，所以暫時還是原樣接著的，但我已經不指望它了，畢竟這種旁路接入的方式，不管監控是否運行，都不會對網絡造成什么影響。

整套設備的接入方式為：外網→路由器→防火墻→DLP→負載均衡服務器→后面結構不動。

交換機

從原始拓撲圖來看，趙明公司的各類服務器應該是在自己的公司內部，畢竟7臺服務器，每年光托管的費用都相當高昂。以服務器安裝在公司內部做假定，那么就需要考慮內網重要信息的泄露對服務器的影響了。

這次做的第一件事就是換了一臺華為的s5500三層交換機，目的就是劃分VLAN，以及依靠它的數據高吞吐量，將機柜里頭的公有業務和私有業務劃分開來。網站的流量出口單獨走一個VLAN；員工上網走另一個。同時對兩端的業務都使用DLP進行內容監控（線路接法為從DLP引出一個接口，流向內部網絡。自此，內部網絡訪問網站服務器群，也需要經過DLP規則和防火墻規則，同時內網在DLP的保護和監控之下。）

由于并不知道網站頻繁被改是因為服務器的原因還是公司內部員工的泄露，所以兩方面都做準備才好分析出故障所在。

防火墻

防火墻作為企業信息安全的第一道屏障，作用已經日漸式微，這并不是說它一點用處沒有。而是單純的防火墻功能已經被其他的設備所涵蓋了。諸如路由器、IDS、IPS、這些都或多或少有一些防火墻的功能。然而這并不意味著單獨的防火墻就沒有市場了。

本案例采用思科的ASA5510-BUN-K9 VPN防火墻，當然，采用5520也是可以的，與前者的區別僅在于并發數的不同。后者的報價大概是前者的1.5倍。通過接入防火墻，我們可以進行常規的網絡防護，諸如ACL控制、DMZ劃分等等。同時這款防火墻也支持UTM（統一威脅管理）。可能很多人覺得思科的設備配置起來非常麻煩，寫配置文件要寫很多。事實上使用終端連接到思科防火墻上，我們使用復制黏貼的方法，可以快速的將配置語句寫入。調試起來還是非常快的，并且現在思科也都在自己的產品上配置了WEB界面，操作起來也很簡單。

DLP  

數據泄露防護（Data leakage prevention, DLP），又稱為“數據丟失防御”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防御”(Information leakage prevention, ILP)。數據泄漏防護是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業

所謂DLP，說白了就是對內網進行關鍵字過濾，應用的效果很廣泛，如我們在MSN說一句話，包含了“合同”兩個字，那么可能你的桌面上會跳出一個提醒：“您所交流的語句包含關鍵字，系統已經開始對其進行記錄。”；或者比如我是華為的員工，登錄了思科的網站，系統會彈出一句話“您正在訪問競爭對手的網站，人力資源將會對您的行為記錄在案。”等等等等，這種基于內容的監控和管理就是DLP的實施場景。

DLP不光可以監控，同樣可以控制，如上面的場景，它可以不彈出提示，直接關閉你的聊天窗口，或者斷網幾分鐘以作懲罰。

像使用迅雷大流量下載，上班看電影等行為，都可以進行有效的監管。

高級一點的，可以對某些蠕蟲病毒的傳播特征進行限制。或者網頁提交格式進行限制。如禁止內外網提交類似' or '' = ' ' or 1=1;這種東西。當然規則有多嚴格，就看制度編寫的如何了。

DLP的實施功能是非常強大的，同時操作也很容易，但它更需要企業內部員工的配合，趙明的執行力是毋庸置疑的，所以推薦DLP一定會讓他很滿意。

網站

趙明的網站頻繁被篡改，要說服務器本身沒有問題，這是在是很難有說服力。所以服務器方面也需要進行一定的整改。不過為了簡便實施和介紹，操作方式也被嚴格限定在以下幾個方面。

1、 服務器操作系統安全。打完所有補丁，這個很容易實施，但是效果很明顯，可以免疫為數不少的蠕蟲和0day

2、 服務器權限修改，包含數據庫的權限修改。方向就是給訪客最低的權限，同時將訪問者控制在自己的目錄中，具體操作較為復雜，實施可以外包。

3、 網站腳本內容檢查。這部分可以單獨交給安全公司來做，我向趙明推薦了我們自己的公司。

總結：

總體的整改方向就是內網+外網安全防護和監控，同時對網站服務器本身進行檢查。后期還可以對內部網絡進行行政制度的限制和整改，效果會更好。