【51CTO.com 综合消息】随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。然而,不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。
本文结合学校应用系统自身的典型架构,分析当前学校应用系统存在的安全风险以及当前主流安全解决方案的局限性,针对学校应用系统存在的安全风险,制定出完善实用的安全解决机制。
1 系统概述
1.1 学校应用系统安全概述
随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。
然而,人们在享受互联网带来的便捷的同时,也承受着层出不穷的网络安全威胁。不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。
1.2 典型应用架构
学校应用系统一般至少包括以下多个系统:对外服务网站、教务管理系统、图书管理系统、财务管理系统以及教职员工信息管理系统等。
图一 武汉大学对外服务网站
图二 武汉大学教学管理系统
1.3 安全分析
1.3.1 安全现状分析
近一段时间,针对学校WEB应用系统进行的黑客攻击行为以及挂马事件层出不穷,带了巨大损失。
“复旦大学”、“厦门大学”等网站被挂马
“北京大学档案馆”、“中国政法大学社会学院”等网站被挂马
1.3.2 典型安全措施
目前应用系统典型安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙/防病毒四层防护。
1、 防火墙
(1) 只能检测网络层的攻击
(2) 无法阻拦来自网络内部的非法操作
(3) 无法动态识别或自适应地调整规则
(4) 对WEB应用,端口80或443必须开放
2、 IDS/IPS
(1) 只检测已知特征
(2) 对数据层的信息缺乏深度分析,误报/漏报率很高
(3) 没有对session/user的跟踪,不能保护SSL流量
3、 软件防病毒/防火墙
(1) 被动检测机制,只检测已知病毒或木马
(2) 无法识别外部正常访问请求
很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
目前由于学校WEB应用系统安全解决方案自身的局限性,导致学校WEB应用系统无法应对日新月异的安全攻击,特别是目前主流基于WEB应用的安全攻击手段。#p#
2 WEB应用威胁
2.1 WEB应用安全概述
WEB应用系统直接面向Internet,以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据某搜索网站统计,目前70%以上的攻击行为都基于WEB应用系统。WEB应用系统安全关系到整个网络站点甚至内部敏感信息安全。
目前,大多数WEB站点与学校内部数据管理应用结合在一起,特别是大部分学校对外服务网站都与其内网系统相关联,通过入侵WEB应用系统,以应用服务器为跳板实现对银行内部系统进一步入侵,由此引发的信息泄露,信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线,基于WEB应用系统的防护方法研究迫在眉睫。
2.2 WEB应用威胁
2.1.1 WEB应用威胁简介
2008年,国际信息安全权威组织OWASP提出,目前最具危害性,利用率最高的十大安全漏洞如下:
安恒根据长期针对网上银行业务系统的安全评估结果,就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上银行应用系统主要存在问题进行详细介绍。
2.1.2 SQL注入攻击
SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQL Injection攻击就发生了。
实际上,SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。
图一 SQL攻击实例
2.1.3 XSS跨站攻击
跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。
跨站脚本漏洞攻击不是对服务器的实际攻击,而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的,如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。
XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞,面向客户端的攻击手段。
某著名大学XSS跨站演示
2.1.4 表单绕过攻击
WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息,然后该表单被发送到 Web 服务器进行处理。接下来,服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器,并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞,通过构造一些畸形的特殊提交语句,绕过表单安全认证的一种攻击手段。
例1:某大学分析测试中心后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。
例2:某大学教务处后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。
3 多层防护系统建设
网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。
从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。
所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。
网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。
主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。
监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过FTP、TELNET等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
防护体系结构图
3.1 网站系统的安全检测
3.1.1 网站WEB应用弱点扫描子系统
主要功能:
◆深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及WEB应用列表
◆WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等)进行深度检测
◆网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位
◆渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据
◆配置审计:通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息
系统特点:
◆全面、深度、准确评估WEB应用弱点,有效提高主动防御能力
支持的WEB应用类型:
支持所有类型的动态页面
支持HTTP 1.0和1.1标准的Web应用系统
支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描
支持基于HTTPS应用系统的检测
支持的数据库类型:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access等
支持的弱点类型:
SQL注入检测 XSS跨站脚本检测 伪造跨站点请求检测
网页木马检测 隐藏字段检测 第三方软件误配置检测
表单绕过检测 AJAX注入检测 中间人攻击检测
弱配置检测 敏感信息泄漏检测 HI-JACK攻击检测
表单弱口令检测 Xpath注入检测 GOOGLE-HACK检测
数据窃取检测 Cookies注入检测 其他各类CGI漏洞检测
灵活可定义的扫描工作模式:
支持先爬行后检测、只检测现有URL、只爬行网站等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全模式自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复
支持多任务、多线程扫描
支持任意扫描例外设置
深度智能扫描引擎:
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
3.1.2 数据库弱点扫描子系统
系统融合有权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令及数据库潜藏木马的功能。
主要功能
数据库弱点扫描子系统由系统管理、项目管理、安全扫描、报表管理几大模块组成。
其中:
◆风险趋势管理:通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的变化,从而实现基于基线的风险趋势分析
◆弱点检测与弱点分析:根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测
◆弱口令检测:依据内嵌的弱口令字典完成对口令强弱的检测
◆补丁检测:根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测
◆项目管理:按项目方式对扫描任务进行增/删/改管理
◆报表管理:提供扫描报告的存储、查看、多文件格式导入/导出功能
◆扫描预通知:向被扫描的数据库发送预扫描通知,及时提醒数据库管理员
◆系统管理:提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测
系统特点
◆权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库
◆深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补丁、木马”深层次安全检测及准确评估
◆完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等
◆独特的木马检测:通过专用的基线扫描发现数据库潜藏木马
◆优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化
◆丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,并提供弱点分级以及相应加固建议方案
◆方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置#p#
3.2 主动防御体系的建设
3.2.1 网站防攻击子系统
防攻击子系统是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。
系统功能:
◆深度防御
防攻击子系统基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):
◆SQL注入
◆命令注入
◆Cookie 注入
◆跨站脚本(XSS)
◆敏感信息泄露
◆恶意代码
◆错误配置
◆隐藏字段
◆会话劫持
◆参数篡改
◆缓冲区溢出
◆应用层拒绝服务
◆弱口令
◆其他变形的应用攻击
◆Web应用加速
系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。
◆敏感信息泄露防护
系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
◆策略配置
自定义策略配置
◆告警
实时告警,支持邮件、短信等多种方式告警。
◆系统报表
支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。
系统特点
◆专利级WEB入侵异常检测引擎
独有WEB入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击,为防御的准确性和高效性提供了基础。
◆支持全透明部署
业界首创支持全透明部署,无需更改原有的DNS或IP配置,对原有应用不会造成任何影响。
◆HTTPS支持
国内首创全面支持HTTPS,实现各类高安全要求WEB应用系统的深度实时防护(如网银、证券交易等)。
◆支持多保护对象
◆支持多台主机对象的保护,包括不同域名不同IP,不同域名相同IP的情况
◆支持用户自定义规则库
用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤
◆统一日志平台接口
◆支持阻断、告警、By-Pass等多种应用模式
3.2.2 网站防篡改子系统
网站防篡改子系统是业界首创的新一代网站防篡改系统,采用目前最新服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制,高效实现网页监测、即时内容恢复、杜绝了网站被非法篡改、用户浏览非法内容的可能。
网站防篡改子系统的特点:
◆新一代内核驱动级文件保护,确保防护功能不被恶意攻击者非法终止
◆采用核心内嵌技术,支持大规模连续篡改攻击防护
◆实时检测与内容恢复,完全杜绝被篡改内容被外界浏览
◆支持断线/连线状态下篡改检测
◆支持多服务器、多站点
◆保护各种类型文件:如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。#p#
3.3 监控审计体系的建立
3.3.1 网站应用安全审计子系统
主要功能:
◆全方位的攻击告警:当网站(或其他Web 应用程序)代码受到WEB应用层的已知及未知攻击时,能够提供多形式的实时告警。
◆多协议的访问监控:提供对WEB应用及WEB服务器的访问实时监控及回放功能,为安全事件的快速查询、定位、成因分析、责任认定提供有力的证据。
◆丰富的监控审计:实现用户访问WEB应用的统计分析,如:访问时段统计、攻击源统计、攻击类型统计、受攻击页面统计、访问页面数、访问流量、TOP10请求包长度等。
产品特性:
◆零风险:旁路部署模式,无需改变现有网络体系结构及应用程序,实现应用层的零风险部署。
◆全方位:实现对各类WEB攻击(已知攻击、变形攻击、未知攻击)的全方位、多层次攻击告警。
◆高性能:基于硬件加速技术确保WebMonitor具备高吞吐、低延时,保证了2~7层深度过滤超越千兆性能。
◆高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性,达到99.9999%的可靠性。
◆易操作:充分考虑国内用户的使用和维护习惯,自动实现规则的生成,弥补手工创建及维护安全规则的不足;依靠内置的安全策略配合完全自定义策略,满足不同层次使用人员的个性化需求。
3.3.2 网站数据库安全审计子系统
数据库安全审计子系统安恒自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计系统。
主要功能
细粒度审计:
◆有别于传统的简单SQL语句还原,通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段…)
◆全方位的实时审计:实时监控来自各个层面的所有数据库活动。如:来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等
◆通过远程命令行执行的SQL命令也能够被审计与分析
◆完善的双向审计:系统不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计
精准化行为回溯:
◆一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什么时候做的操作?通过什么方式做的操作?)
全方位风险控制:
◆灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件
◆多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员
◆多协议层的远程访问监控:不仅对客户端工具及应用层JDBC、ODBC的访问监控,还支持对数据库服务器的远程访问(如:ftp、telnet)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定
职责分离:
◆SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离,系统设置了权限角色分离,如系统管理员负责设备的运行设置;规则配置员负责相关数据库操作规则的设定;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。
友好真实的操作过程回放:
◆对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容
产品特点
◆完整性:全方位审计所有的操作访问行为。
◆细粒度:细粒度的审计规则、精准化的行为回溯、全方位的风险控制
◆有效性:独有专利技术实现对数据库安全的各类风险(攻击风险、管理风险)的有效控制;灵活的、可自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)
◆公正性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性
◆零风险:采用旁路部署模式,无需改变现有网络体系结构及数据库配置,实现零风险部署
◆高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性,达到99.9999%的可靠性
◆易操作:充分考虑国内用户的使用和维护习惯,提供Web-based全中文操作界面及在线操作提示
3.4 整体部署功能示意图
郑重声明:此为功能结构示意图,而不是实际的物理网络部署图。
多层防护体系功能结构示意图#p#
4 成功案例
浙江某著名大学
客户面临的问题:
该大学WEB应用系统存在严重可利用安全漏洞,如SQL注入、跨站脚本以及表单绕过。恶意人员可轻松获取该网站后台管理权限,进行网页篡改甚至进行网页挂马、提权等操作,最终获取WEB服务器控制权限。同时,由于其内部网络之间各个业务系统,如WEB应用系统与教务系统并未进行严格的逻辑隔离,导致恶意人员可在内部局域网内进行深度入侵,篡改教务系统数据库数据。
解决方案:
建立网站系统的安全检测系统,对WEB应用系统网站以及各个子网站进行定期的安全检测扫描,在恶意人员进行安全攻击前,提早发现可能存在的各类安全隐患,及时进行安全加固,防止存在可利用安全漏洞为恶意攻击者利用。
在提供WEB应用服务的服务器前端直连部署主动防御系统,包括明御WEB防火墙与明御网站卫士,采用国内首创全透明部署的WEB应用防火墙硬件设备以及网站卫士放篡改系统相结合的方式,对网站进行防攻击、防篡改双重保护,构建安全的学校WEB应用系统内部环境。
明御WEB防火墙可以提供针对WEB应用层攻击防御和流量监控,完全支持HTTPS加密协议的攻击防御。例如:SQL注入攻击、跨站脚本攻击、应用层DDOS攻击、表单绕过、缓冲区溢出、恶意报文攻击、网页盗链、钓鱼攻击、Cookie注入等攻击防御,并通过强大的缓存技术和负载均衡技术提高网站及网上银行的访问速度。
明御网站卫士采用目前最先进的WEB入侵检测技术、服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制,高效实现网页监测、即时内容恢复、动态WEB攻击防护功能,杜绝了网站被非法篡改、非法入侵的可能。
对学校内部教务信息、财务信息以及学术论文库等数据库服务器前端部署数据库安全审计系统——明御数据库审计及深度防御系统,对数据库的操作进行细粒度、动态实时的安全审计,保护数据库数据安全,并未事后追溯提供依据。
系统部署图如下: