拯救赵明-WEB网站安全解决方案

原创
安全 应用安全
WEB应用防火墙称WAF,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为WEB应用提供实时的防护。

【51CTO.com独家特稿】现状分析:

赵明:网站运维经理

视频中提出2个问题:

1、利用安全防护方案预防攻击的发生。

2、当被攻击时,能及时报警,阻断并记录黑客行为特性。

当前网站拓扑图如下:  

通过视频,知赵明运维的网站被黑客攻击,网站被改。

当前的网站拓扑图中只有一个负载均衡器,可能是通过负载均衡器的防火墙功能代替了防火墙类设备。

网站架构为2层结构,前台WEB,后台DB。

解决方案:

1、安装安全设备

在网络前端架设IPS设备,WAF防火墙,配置一台专用日志服务器,拓扑如下  

说明:

① IPS即入侵保护系统,IPS完全实现防火墙的功能;具有IDS的所有特性。以串联接入网络,比旁路IDS防御效果好,能够有效阻断入侵连接。

IPS功能介绍

针对不同的网络环境和安全需求,基于安全区、IP地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式。

主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,而且针对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失。

支持安全区(Zone),支持路由、透明、混合三种工作模式,支持五种安全区模式:透明(Layer2)、路由(Layer3)、监听(Monitor)、直通(Direct)、管理(Mgt),能够快速部署在各种网络环境中。还支持失效开放(Fail-open)机制和双机热备(HA),避免单点故障。

丰富的响应方式,包括主动响应(丢弃数据包、丢弃连接会话)、被动响应(与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令、写入XML文件、snmp trap),用户可自定义,满足各种需要。

IPS配置建议:

禁止所有非开放端口;

只允许外网到WEB的主动访问;

禁止WEB到外网的主动访问,按需求开放部分连接,如补丁升级、病毒升级等。主要防止WEB服务器中病毒木马之间的反向连接。

做好阻断规则配置。

做好日志。

上线测试。

② WAF即WEB应用防火墙,它主要是针对WEB应用层防护。

WAF功能介绍

WEB应用防火墙称WAF,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为WEB应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:

1. 对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。

2. 提供应用层规则:WEB应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。

3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为WEB应用提供了一个外部的输入验证机制,安全性更为可靠。

4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。

WAF配置建议:

按实际需求开放最小权限;

做好阻断规则配置。

做好日志。

上线测试。

为提高WAF性能,建议关闭其它附带功能。

③ 日志服务器。直接连IPS和WAF,为这两个设备做日志,主要用于事后分析。虚线连交换机,是为了方便管理,但存在安全隐患,如不是十分必要不建议连接。

④ IPS和WAF为均为单台串行接入,存在单点故障,可以考虑双机模式,提高可用性。

2、WEB服务器软件安全

① 操作系统补丁、应用系统补丁、中间件系统补丁、数据库系统补丁、防病毒系统升级更新等等。

② WEB服务器,源代码安全评估。

当今的WEB安全主要集中在应用层面,也就是代码安全,虽然我们安装了安全设备(IPS、WAF),但这些安全设备都是安全防御,对于正常的访问(或者说被这些安全设备认为是正常的)安全设备是放行的,如果这段代码有问题同样会出大问题。

建议1:WEB前后台代码完全剥离。

建议2:有条件的话,找专业安全厂商进行代码安全评估。

③ DB服务器安全设置,敏感操作要做日志等。

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【编辑推荐】

  1. 给赵明的网站安全整改方案
  2. 使用ModSecurity 保护Web服务安全(拯救赵明)
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-04-20 21:55:36

2010-05-31 11:38:00

2010-04-21 11:26:55

2010-04-22 11:53:15

2010-04-13 00:13:24

2010-05-26 09:52:58

2010-06-12 11:49:03

2010-04-22 14:39:27

2010-04-21 11:00:41

2010-06-12 09:27:40

2010-06-12 15:24:33

2010-04-13 14:20:32

2010-06-12 15:58:17

2010-05-25 21:56:00

2010-05-31 11:10:20

2011-11-30 12:42:38

2010-05-31 12:13:23

2010-04-21 10:32:30

2011-06-21 09:01:02

2011-11-30 16:11:44

点赞
收藏

51CTO技术栈公众号