【51CTO.com獨家特稿】1. 網站現狀與存在的問題分析

不了解現狀，不分析現狀，不找到問題，就無從談起方案整改，為此我們先分析下趙明的網站網絡安全現狀。

這個圖是視頻最后提供的一份網絡拓撲，從這份拓撲上，我們可以了解如下信息：

1) 趙明負責維護的網站，主要提供web服務，并且有2臺web應用服務器同時提供服務；

2) web服務器后臺存在獨立的數據庫服務器

3) 互聯網接入，首先連接的是負載均衡器，并由該設備采用負載均衡方式將流量分配到主、被web應用服務器，保證系統高效運行；

4) 整改網絡上沒有網絡安全防護設備，沒有對重要服務器進行獨立保護。

從上述信息，我們可以分析得到所存在的主要安全技術問題如下：：

1) 互聯網接入邊界，沒有防護設備，互聯網對應用服務器的訪問不受任何訪問控制與檢測，容易遭受來自互聯網的各種攻擊，包括Dos/DDos、SQL注入等等；

2) 網絡內部，沒有將主/備應用服務器、數據庫等進行獨立保護，他們之間的網絡互訪沒有任何限制；

3) 網絡內部沒有網絡流量審計系統，對于來自互聯網的訪問，沒有進行審計記錄，無法追查任何惡意訪問、攻擊事件。

此外，我們在播放的趙明視頻中，還可以很容易的發現所存在的管理問題：

1) 工作時間休息開小差——睡覺，即使有網絡監控設備，也會因為沒有技術人員的適當操作配合，而讓入侵繼續造成破壞；

2) 沒有應急方案，發現入侵，只是憤慨，沒有相應的應對操作流程。

2. 整改目標

針對上述存在的問題，我們可以很容易確定本次整改方案目標：

1) 提升整改網絡、對外應用服務器的抗攻擊能力；

2) 實現對攻擊事件、訪問事件的實時監控能力；

3) 通過合理的網站備份，能及時恢復受攻擊的網站；

4) 制定安全管理、安全運維、應急操作管理制度和流程。

3. 整改方案說明

3.1. 網絡拓撲

3.2. 方案說明

安全區域劃分

如圖示，劃分為主應用服務器區、主數據庫服務器區、備用服務器區、互聯網接入區，安全區域劃分后，可以很方便明確哪個區域容易遭受攻擊，哪個區域需要重點保護等等，并且可以進一步在相應的區域間部署相應網絡安全設備。

互聯網防火墻部署

如圖①所示，在互聯網接入邊界，部署作為基本防護措施的防火墻設備，實現端口級別的控制，降低到下一個設備的違規流量。

Web防火墻部署

如圖②所示，部署web防火墻，實現對網站合法端口上的各種攻擊防護，如SQL注入攻擊、跨站攻擊等等，并記錄網站訪問行為。

內網防火墻部署

如圖③所示，部署內網區域隔離防火墻，對主應用服務器區、主數據庫服務器區、備用服務器區之間的網絡互訪進行訪問控制，隔離其他不需要的流量。

入侵檢測系統部署

如圖④所示，部署入侵檢測系統，同時檢測內網2個交換機的網絡流量，對內部流量、互聯網流量進行實時檢測，及時發現透過web防火墻的入侵流量，并進行報警，必要時可以與互聯網接入防火墻實現安全聯動。

4. 方案效果說明

通過上述整改后的網絡安全方案，至少可以實現如下效果：

1) 在互聯網接入部分，同時部署有防火墻和web防火墻，可以各司其職的分別對網絡端口、應用流量攻擊進行檢測和自動阻斷，只要設備特別是web防火墻的特征碼實時更新，基本可以防護所有的來自互聯網的攻擊。另外上述設備具備的日志功能，可以基本滿足對攻擊日志、日常訪問日志的記錄和審計使用；

2) 在內網，按照應用系統的安全級別、使用方式等進行安全區域劃分，并通過內網防火墻實現區域間訪問控制，進一步加強內部網絡互訪控制措施；

3) 在內網部署入侵檢測系統，是作為web防火墻的補充和二次檢測使用，建議此處使用與web防火墻不同品牌的入侵檢測系統，使用不同的攻擊代碼特征庫，實現互補措施，并且通過該設備，可以對網絡內部、互聯網流量情況進行報表分析，便于管理員實施了解網絡訪問狀況。

其他方面，“三份技術，七分管理”，是經常提起的一句話，現狀也說明趙明的運維確實存在安全管理問題，所以建議趙明完善網絡安全運維制度、應急響應操作規范等制度規范，不要再工作時間睡覺，不要再發現入侵時無所事事。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. Juniper防火墻加綠盟冰之眼加固網站(拯救趙明)
2. 防火墻加web應用防火墻解決趙明問題