给赵明的网站安全整改方案

原创
安全 应用安全
不了解现状,不分析现状,不找到问题,就无从谈起方案整改,为此我们先分析下赵明的网站网络安全现状。

【51CTO.com独家特稿】1. 网站现状与存在的问题分析

不了解现状,不分析现状,不找到问题,就无从谈起方案整改,为此我们先分析下赵明的网站网络安全现状。


这个图是视频最后提供的一份网络拓扑,从这份拓扑上,我们可以了解如下信息:

1) 赵明负责维护的网站,主要提供web服务,并且有2台web应用服务器同时提供服务;

2) web服务器后台存在独立的数据库服务器

3) 互联网接入,首先连接的是负载均衡器,并由该设备采用负载均衡方式将流量分配到主、被web应用服务器,保证系统高效运行;

4) 整改网络上没有网络安全防护设备,没有对重要服务器进行独立保护。

从上述信息,我们可以分析得到所存在的主要安全技术问题如下::

1) 互联网接入边界,没有防护设备,互联网对应用服务器的访问不受任何访问控制与检测,容易遭受来自互联网的各种攻击,包括Dos/DDos、SQL注入等等;

2) 网络内部,没有将主/备应用服务器、数据库等进行独立保护,他们之间的网络互访没有任何限制;

3) 网络内部没有网络流量审计系统,对于来自互联网的访问,没有进行审计记录,无法追查任何恶意访问、攻击事件。

此外,我们在播放的赵明视频中,还可以很容易的发现所存在的管理问题:

1) 工作时间休息开小差——睡觉,即使有网络监控设备,也会因为没有技术人员的适当操作配合,而让入侵继续造成破坏;

2) 没有应急方案,发现入侵,只是愤慨,没有相应的应对操作流程。

2. 整改目标

针对上述存在的问题,我们可以很容易确定本次整改方案目标:

1) 提升整改网络、对外应用服务器的抗攻击能力;

2) 实现对攻击事件、访问事件的实时监控能力;

3) 通过合理的网站备份,能及时恢复受攻击的网站;

4) 制定安全管理、安全运维、应急操作管理制度和流程。

3. 整改方案说明

3.1. 网络拓扑


3.2. 方案说明

安全区域划分

如图示,划分为主应用服务器区、主数据库服务器区、备用服务器区、互联网接入区,安全区域划分后,可以很方便明确哪个区域容易遭受攻击,哪个区域需要重点保护等等,并且可以进一步在相应的区域间部署相应网络安全设备。

互联网防火墙部署

如图①所示,在互联网接入边界,部署作为基本防护措施的防火墙设备,实现端口级别的控制,降低到下一个设备的违规流量。

Web防火墙部署

如图②所示,部署web防火墙,实现对网站合法端口上的各种攻击防护,如SQL注入攻击、跨站攻击等等,并记录网站访问行为。

内网防火墙部署

如图③所示,部署内网区域隔离防火墙,对主应用服务器区、主数据库服务器区、备用服务器区之间的网络互访进行访问控制,隔离其他不需要的流量。

入侵检测系统部署

如图④所示,部署入侵检测系统,同时检测内网2个交换机的网络流量,对内部流量、互联网流量进行实时检测,及时发现透过web防火墙的入侵流量,并进行报警,必要时可以与互联网接入防火墙实现安全联动。

4. 方案效果说明

通过上述整改后的网络安全方案,至少可以实现如下效果:

1) 在互联网接入部分,同时部署有防火墙和web防火墙,可以各司其职的分别对网络端口、应用流量攻击进行检测和自动阻断,只要设备特别是web防火墙的特征码实时更新,基本可以防护所有的来自互联网的攻击。另外上述设备具备的日志功能,可以基本满足对攻击日志、日常访问日志的记录和审计使用;

2) 在内网,按照应用系统的安全级别、使用方式等进行安全区域划分,并通过内网防火墙实现区域间访问控制,进一步加强内部网络互访控制措施;

3) 在内网部署入侵检测系统,是作为web防火墙的补充和二次检测使用,建议此处使用与web防火墙不同品牌的入侵检测系统,使用不同的攻击代码特征库,实现互补措施,并且通过该设备,可以对网络内部、互联网流量情况进行报表分析,便于管理员实施了解网络访问状况。

其他方面,“三份技术,七分管理”,是经常提起的一句话,现状也说明赵明的运维确实存在安全管理问题,所以建议赵明完善网络安全运维制度、应急响应操作规范等制度规范,不要再工作时间睡觉,不要再发现入侵时无所事事。

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【编辑推荐】

  1. Juniper防火墙加绿盟冰之眼加固网站(拯救赵明)
  2. 防火墙加web应用防火墙解决赵明问题
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-04-22 11:53:15

2010-05-31 14:31:51

2010-05-31 11:38:00

2010-04-21 11:26:55

2010-04-20 21:55:36

2010-04-13 00:13:24

2010-06-12 11:49:03

2013-05-21 11:31:06

2010-04-22 14:39:27

2010-04-21 11:00:41

2010-05-31 11:10:20

2010-06-12 09:27:40

2010-06-12 15:24:33

2010-04-13 14:20:32

2010-06-12 15:58:17

2010-05-25 21:56:00

2010-05-31 12:13:23

2010-04-22 01:19:32

2010-06-22 16:34:31

2010-05-19 10:13:21

点赞
收藏

51CTO技术栈公众号