【51CTO.com 独家特稿】在“拯救网站运维经理赵明活动”开始后,李洋为我们投来了多层防御的一个解决方案。
越来越多的网站面临着赵明所运维的Web网站系统的安全威胁和问题,当前许多的解决方案更多的依赖于单一的技术或者设备来机械式地进行叠加的防护。其实,针对该问题的解决方案从安全的本质来说,需要从安全原则及其实现的技术和网络拓扑来进行“标本兼治”,方能从根本上救得了赵明,从此以后高枕无忧,将黑客“拒之门外”。因此,本方案首先对赵明运维的系统进行详细的安全分析,给出安全风险,然后给出相应的解决方案的原则和技术,并根据原则来提供具体实施的网络拓扑和部署要点,在最后给出了具体实施所采用的主要安全产品选型,希望给赵明和广大的网络管理员提供参考。
一、 Web系统风险分析
从风险发生的位置来看,赵明所运维的Web网站系统主要面临如下两类安全风险:
1、用户侧和传输网络侧
a) 恶意用户采用黑客工具构造恶意报文对暴露在公网的网上系统进行拒绝服务攻击
b) 恶意用户通过Web浏览器的登陆界面对合法用户的用户名和密码进行猜测,从而冒充合法用户进行网页访问和系统使用
c) 恶意用户通过构造非法的、可能被网上系统错误识别和执行的代码嵌入在提交的表单中,引起不正常的信息泄露,甚至系统崩溃
d) 恶意用户可能在传输网络中通过非法窃取合法用户的通信报文,从而获得本不应该获得的敏感信息
e) 用户被引导进入其他的非法网站,如现在流行的钓鱼网站(phishing)等等,从而在不知情的情况下泄露个人机密信息,造成经济损失
2、系统服务器侧
a) 面临来自用户侧的拒绝服务攻击、分布式拒绝服务攻击
b) 面临在遭受攻击后,由于服务器侧网络架构划分和隔离措施不严谨,可能造成“雪崩效应”,整个服务器机群的瘫痪,比如,由于Web服务器瘫痪,导致后台数据库服务器、管理服务器等的连锁瘫痪
c) 面临由于服务器侧的软件实现不合理,尤其是数据库权限和视图等的不合理,导致用户的错误或者非法输入引起机密信息泄露或者是遭受SQL injection攻击等
d) 面临在服务器遭受攻击后,没有相应的备服务器接管服务,造成服务终端,引起用户业务体验严重受损
e) 面临在服务器遭受攻击后,没有健全的灾难备份和恢复措施对关键的业务数据及其业务进行恢复
二、 方案的原则和思路
依据网络安全领域最为流行的4A(认证Authentication、账号Account、授权Authorization、审计Audit)、P2DR模型(策略Policy、保护Protection、监测Detection、反应Response)及ISO等主流标准的要求,并结合赵明Web系统的应用需求,切实保证赵明运维的网站能够从根本上解决黑客攻击防御和事后的审计和追踪问题,并特别强调网站的安全设计和防护原则从天生上就有应对黑客攻击的“免疫力”,所以从五大方面进行考虑:
1. 网络拓扑结构:合理的拓扑结构能够有效地抑制黑客攻击,即便在黑客攻击后也能使得攻击的影响降低到最小程度;
2. 安全原则:用户认证、帐号管理、加密传输等原则的综合部署和使用,能从根本上多层面地增强网站的健壮性,数据的完整性和可靠性,从而保证网络和信息安全;
3. 审计和追踪:强大和适时的审计和追踪,能够使得网站的防御体系能够尽快地从黑客攻击中解脱出来,完成对黑客的追踪,并通过相应手段来增强网站的抗攻击性;
4. 备份和灾难恢复:能够保证在黑客攻击以及自然灾害下,网站系统运维的365*24*7(小时)不间断地业务运行;
5. 自我漏洞挖掘及防护:能够周期性、自发地对Web系统的漏洞进行自我挖掘,并根据挖掘的漏洞通过各种安全机制和补丁等方式进行防护,以有效地避免“零日攻击”等。
根据上述原则,建议从如下10个方面进行方案制定:
1. Web系统用户的身份认证和鉴权机制:
a) 采用用户名+密码验证,确认用户登录身份,并根据数据库中预设的权限,向用户展示相应的视图和表单
b) 对于重要的Web系统应用,需要根据PKI机制,验证用户提供的证书,从而对用户身份认证(服务器对客户端认证),并确保交易的不可抵赖性。证书的提供可以采用两种方式:
i. 文件证书:保存在用户磁盘和文件系统上,有一定的安全风险,但是可以免费
ii. USB设备存储的证书:保存在USB设备上,安全性很高,但是目前使用一般需要对用户收费
2. Web系统数据的加密传输和用户对Web系统服务器的验证
a) 对于使用Web浏览器的网上系统应用,采用SSL+数字证书结合的方式(即HTTPS协议),保证通信数据的加密传输,同时也保证了用户端对服务器端的认证,避免用户被冒充合法网站的“钓鱼网站”欺骗,从而泄露机密信息(用户名和密码等),造成不可挽回的经济损失。
3. 基于用户账号的使用行为的日志记录及其审计
a) 系统服务器侧应根据账号,对用户的使用行为进行详细的日志记录和审计,通过上述因素的日志记录,进行阶段性的审计(时间间隔应该比较小),从而做到发现用户账号的盗用、恶意使用等问题,尽早进行处理
4. 恶意用户流量的检测、过滤及阻断
a) 系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备,或者部署目前高效、流行的UTM(统一威胁管理)设备,对恶意用户采用的各种攻击手段进行检测和防护,重点过滤恶意流量、突发流量等。
5. 对用户的非正常应用请求的过滤和处理
a) 系统的服务器端,尤其是数据库服务器端,应该通过配置和增加对用户非常长应用请求的过滤和处理模块,以避免由于数据库的自身漏洞未及时打上补丁,而遭受目前流行的SQL 注入攻击等。
6. Web系统服务器侧的合理子网划分及流量分割
a) 系统服务器侧包括大量的服务器类型,包括数据库服务器、Web服务器、FTP服务器、邮件服务器等,为了避免由于恶意流量造成的某种服务器崩溃,而引起的攻击后果扩散,并最终导致其他服务器也发生“雪崩效应”,则需要通过子网隔离(比如VLAN划分)、DMZ区域的设定等方式来将这些服务器放置在不同的安全域当中,做到流量和数据的安全隔离,从而将服务器端在遭受攻击后对整个业务系统及其他内网资源和数据造成的影响尽量控制在最低的范围内。
7. Web系统服务器侧的负载均衡及负载保护机制
a) 系统面临着巨大的服务量,服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,避免处理瓶颈的出现,因此,需要采用合理的负载均衡和负载保护机制
b) 对各服务器的业务流量进行有效地分担,可按照Round Robin、LRU等方式来进行负载均衡
c) 负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估,如果一旦超过设定的阈值(80%或者以上),将马上进行过载保护,从而保证服务器自身的安全
8. Web系统服务器侧的灾难备份及恢复策略
a) 任何系统都不能说100%的安全,都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作,需要着重考虑如下几点:
i. 选择合适的备份策略,做好提前备份,包括全备份、差分备份、增量备份等等
ii. 选择合适的备份介质,包括磁带、光盘、RAID磁盘阵列等
iii. 选择合适的备份地点,包括本地备份、远程备份等等
iv. 选择合适的备份技术,包括NAS、SAN、DAS等等
v. 作好备份的后期维护和安全审计跟踪
9. Web系统服务器的安全管理
a) 系统功能复杂,业务数据敏感,保密级别比较高,并且对不同管理人员的权限、角色要求都不尽相同,为了保证安全管理,避免内部管理中出现安全问题,建议作如下要求:
i. 严格划分管理人员的角色及其对应的权限,避免一权独揽,引起安全隐患;
ii. 作好服务器机房的物理条件管理,避免电子泄露、避免由于静电等引起的故障;
iii. 应作好服务器管理员的帐号/口令管理,要求使用强口令,避免内部人员盗用;
iv. 作好服务器的端口最小化管理,避免内部人员扫描得出服务器的不必要的开放端口及其漏洞,实行内部攻击;
v. 作好服务器系统软件、应用软件的日志管理和补丁管理工作,便于审计和避免由于安全漏洞而遭受到内部人员的攻击;
vi. 根据业务和数据的机密等级需求,严格划分服务器的安全域,避免信息泄露。
10. 网站漏洞自我挖掘及防护:采用漏洞扫描和挖掘设备,对内网各服务器进行阶段性的扫描,并根据扫描所得的风险和漏洞进行及时地修补,以实现该漏洞为黑客使用之前进行自行修复的目的。
三、 网络拓扑及要点剖析
1、 网络拓扑
方案的网络拓扑如下所示:
2、部署要点解析
(1)防火墙的设置
图中所示防火墙的设置原则如下:
采用外部和内外防火墙双重设置,以切实保障外部流量进入HTTP反向代理服务器(DMZ区域)和内部网络前均通过安全检测;
内部和外部防火墙的使用应尽量采取不同厂家和不同型号的防火墙设备,以提高防火墙的防护性能。
(2)HTTP反向代理服务器的设置
通过设置反向代理服务器,可以起到如下安全防护作用:
隐藏内部Web服务器的IP地址,外部用户根本感觉不到反向代理服务器的存在,极大地降低网络内部Web服务器被攻击的风险和概率;
反向代理服务器可以缓存内部Web服务器的部分数据,可以减轻内部服务器的负载压力,提升服务质量;
作为一个堡垒主机,即算反向代理务器遭受攻击,由于内外部防火墙的设置,也不会影响到内部的网络服务器安全。
(3)IPS的设置
使用上述方法设置IPS,可以起到如下安全防护和异常阻断作用:
对从反向代理服务器流向内部的流量和请求在内部的入口端进行过滤,成为防火墙后的第二层防护点,从源头保证内部安全;
对内网的异常状况可以进行实时的检测,即算有威胁和异常源自内部而对服务器发生破坏作用,如篡改网页、删除文件等,也能进行有效地监控、审计和记录,从而保证内网安全。
四、 主要安全产品选型
由于赵明目前主要需要解决的是入侵防护问题,因此下面主要给出与其相关的IPS和漏洞扫描的安全产品选型,其他的如存储备份设备、防火墙设备的选型可以根据企业的实际情况进行选择使用,本方案不作过多推荐和描述。
1、绿盟网络入侵防护系统 IPS
绿盟网络入侵防护系统 (NSFOCUS Network Intrusion Prevention System,简称:NSFOCUS NIPS) 是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。绿盟网络入侵防护系统是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。
入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
Web威胁防护:基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
用户上网行为监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
2、绿盟远程安全评估系统
每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。
寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。
绿盟远程安全评估系统 (NSFOCUS Remote Security Assessment System, 简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘,其主要特点为:
依托专业的NSFOCUS安全研究团队,综合运用信息重整化(NSIP)等多种领先技术,自动、高效、及时准确地发现网络资产存在的安全漏洞;
针对网络资产的安全漏洞进行详细分析,采用权威的风险评估模型量化风险,提供专业的解决方案;
融合Open VM(Open Vulnerability Management)开放漏洞管理工作流程,提供真正有效的漏洞管理解决方案;为降低企业的安全风险提供强有力的保障。
【编辑推荐】
