拯救趙明-WEB網站安全解決方案
原創【51CTO.com獨家特稿】現狀分析:
趙明:網站運維經理
視頻中提出2個問題:
1、利用安全防護方案預防攻擊的發生。
2、當被攻擊時,能及時報警,阻斷并記錄黑客行為特性。
當前網站拓撲圖如下:
通過視頻,知趙明運維的網站被黑客攻擊,網站被改。
當前的網站拓撲圖中只有一個負載均衡器,可能是通過負載均衡器的防火墻功能代替了防火墻類設備。
網站架構為2層結構,前臺WEB,后臺DB。
解決方案:
1、安裝安全設備
在網絡前端架設IPS設備,WAF防火墻,配置一臺專用日志服務器,拓撲如下
說明:
① IPS即入侵保護系統,IPS完全實現防火墻的功能;具有IDS的所有特性。以串聯接入網絡,比旁路IDS防御效果好,能夠有效阻斷入侵連接。
IPS功能介紹
針對不同的網絡環境和安全需求,基于安全區、IP地址(組、段)、規則(組、集)、時間、動作等對象,制定不同的規則和響應方式。
主動防御已知和未知攻擊,實時阻斷各種黑客攻擊,如緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問、蠕蟲病毒、木馬后門、間諜軟件等,而且針對僵尸網絡提供主動防御,廣泛精細的應用防護幫助用戶避免安全損失。
支持安全區(Zone),支持路由、透明、混合三種工作模式,支持五種安全區模式:透明(Layer2)、路由(Layer3)、監聽(Monitor)、直通(Direct)、管理(Mgt),能夠快速部署在各種網絡環境中。還支持失效開放(Fail-open)機制和雙機熱備(HA),避免單點故障。
豐富的響應方式,包括主動響應(丟棄數據包、丟棄連接會話)、被動響應(與防火墻聯動、TCP Killer、發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmp trap),用戶可自定義,滿足各種需要。
IPS配置建議:
禁止所有非開放端口;
只允許外網到WEB的主動訪問;
禁止WEB到外網的主動訪問,按需求開放部分連接,如補丁升級、病毒升級等。主要防止WEB服務器中病毒木馬之間的反向連接。
做好阻斷規則配置。
做好日志。
上線測試。
② WAF即WEB應用防火墻,它主要是針對WEB應用層防護。
WAF功能介紹
WEB應用防火墻稱WAF,提供了一種安全運維控制手段:基于對HTTP/HTTPS流量的雙向分析,為WEB應用提供實時的防護。與傳統防火墻/IPS設備相比較,WAF最顯著的技術差異性體現在:
1. 對HTTP有本質的理解:能完整地解析HTTP,包括報文頭部、參數及載荷。支持各種HTTP 編碼(如chunked encoding);提供嚴格的HTTP協議驗證;提供HTML限制;支持各類字符集編碼;具備response過濾能力。
2. 提供應用層規則:WEB應用通常是定制化的,傳統的針對已知漏洞的規則往往不夠有效。WAF提供專用的應用層規則,且具備檢測變形攻擊的能力,如檢測SSL加密流量中混雜的攻擊。
3. 提供正向安全模型(白名單模型):僅允許已知有效的輸入通過,為WEB應用提供了一個外部的輸入驗證機制,安全性更為可靠。
4. 提供會話防護機制:HTTP協議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充,防護基于會話的攻擊類型,如cookie篡改及會話劫持攻擊。
WAF配置建議:
按實際需求開放最小權限;
做好阻斷規則配置。
做好日志。
上線測試。
為提高WAF性能,建議關閉其它附帶功能。
③ 日志服務器。直接連IPS和WAF,為這兩個設備做日志,主要用于事后分析。虛線連交換機,是為了方便管理,但存在安全隱患,如不是十分必要不建議連接。
④ IPS和WAF為均為單臺串行接入,存在單點故障,可以考慮雙機模式,提高可用性。
2、WEB服務器軟件安全
① 操作系統補丁、應用系統補丁、中間件系統補丁、數據庫系統補丁、防病毒系統升級更新等等。
② WEB服務器,源代碼安全評估。
當今的WEB安全主要集中在應用層面,也就是代碼安全,雖然我們安裝了安全設備(IPS、WAF),但這些安全設備都是安全防御,對于正常的訪問(或者說被這些安全設備認為是正常的)安全設備是放行的,如果這段代碼有問題同樣會出大問題。
建議1:WEB前后臺代碼完全剝離。
建議2:有條件的話,找專業安全廠商進行代碼安全評估。
③ DB服務器安全設置,敏感操作要做日志等。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
