【51CTO.com独家特稿】现状分析:
赵明:网站运维经理
视频中提出2个问题:
1、利用安全防护方案预防攻击的发生。
2、当被攻击时,能及时报警,阻断并记录黑客行为特性。
当前网站拓扑图如下:
通过视频,知赵明运维的网站被黑客攻击,网站被改。
当前的网站拓扑图中只有一个负载均衡器,可能是通过负载均衡器的防火墙功能代替了防火墙类设备。
网站架构为2层结构,前台WEB,后台DB。
解决方案:
1、安装安全设备
在网络前端架设IPS设备,WAF防火墙,配置一台专用日志服务器,拓扑如下
说明:
① IPS即入侵保护系统,IPS完全实现防火墙的功能;具有IDS的所有特性。以串联接入网络,比旁路IDS防御效果好,能够有效阻断入侵连接。
IPS功能介绍
针对不同的网络环境和安全需求,基于安全区、IP地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式。
主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,而且针对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失。
支持安全区(Zone),支持路由、透明、混合三种工作模式,支持五种安全区模式:透明(Layer2)、路由(Layer3)、监听(Monitor)、直通(Direct)、管理(Mgt),能够快速部署在各种网络环境中。还支持失效开放(Fail-open)机制和双机热备(HA),避免单点故障。
丰富的响应方式,包括主动响应(丢弃数据包、丢弃连接会话)、被动响应(与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令、写入XML文件、snmp trap),用户可自定义,满足各种需要。
IPS配置建议:
禁止所有非开放端口;
只允许外网到WEB的主动访问;
禁止WEB到外网的主动访问,按需求开放部分连接,如补丁升级、病毒升级等。主要防止WEB服务器中病毒木马之间的反向连接。
做好阻断规则配置。
做好日志。
上线测试。
② WAF即WEB应用防火墙,它主要是针对WEB应用层防护。
WAF功能介绍
WEB应用防火墙称WAF,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为WEB应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:
1. 对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
2. 提供应用层规则:WEB应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为WEB应用提供了一个外部的输入验证机制,安全性更为可靠。
4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
WAF配置建议:
按实际需求开放最小权限;
做好阻断规则配置。
做好日志。
上线测试。
为提高WAF性能,建议关闭其它附带功能。
③ 日志服务器。直接连IPS和WAF,为这两个设备做日志,主要用于事后分析。虚线连交换机,是为了方便管理,但存在安全隐患,如不是十分必要不建议连接。
④ IPS和WAF为均为单台串行接入,存在单点故障,可以考虑双机模式,提高可用性。
2、WEB服务器软件安全
① 操作系统补丁、应用系统补丁、中间件系统补丁、数据库系统补丁、防病毒系统升级更新等等。
② WEB服务器,源代码安全评估。
当今的WEB安全主要集中在应用层面,也就是代码安全,虽然我们安装了安全设备(IPS、WAF),但这些安全设备都是安全防御,对于正常的访问(或者说被这些安全设备认为是正常的)安全设备是放行的,如果这段代码有问题同样会出大问题。
建议1:WEB前后台代码完全剥离。
建议2:有条件的话,找专业安全厂商进行代码安全评估。
③ DB服务器安全设置,敏感操作要做日志等。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】