【.com独家特稿】1. 网站现状与存在的问题分析
不了解现状,不分析现状,不找到问题,就无从谈起方案整改,为此我们先分析下赵明的网站网络安全现状。
这个图是视频最后提供的一份网络拓扑,从这份拓扑上,我们可以了解如下信息:
1) 赵明负责维护的网站,主要提供web服务,并且有2台web应用服务器同时提供服务;
2) web服务器后台存在独立的数据库服务器
3) 互联网接入,首先连接的是负载均衡器,并由该设备采用负载均衡方式将流量分配到主、被web应用服务器,保证系统高效运行;
4) 整改网络上没有网络安全防护设备,没有对重要服务器进行独立保护。
从上述信息,我们可以分析得到所存在的主要安全技术问题如下::
1) 互联网接入边界,没有防护设备,互联网对应用服务器的访问不受任何访问控制与检测,容易遭受来自互联网的各种攻击,包括Dos/DDos、SQL注入等等;
2) 网络内部,没有将主/备应用服务器、数据库等进行独立保护,他们之间的网络互访没有任何限制;
3) 网络内部没有网络流量审计系统,对于来自互联网的访问,没有进行审计记录,无法追查任何恶意访问、攻击事件。
此外,我们在播放的赵明视频中,还可以很容易的发现所存在的管理问题:
1) 工作时间休息开小差——睡觉,即使有网络监控设备,也会因为没有技术人员的适当操作配合,而让入侵继续造成破坏;
2) 没有应急方案,发现入侵,只是愤慨,没有相应的应对操作流程。
2. 整改目标
针对上述存在的问题,我们可以很容易确定本次整改方案目标:
1) 提升整改网络、对外应用服务器的抗攻击能力;
2) 实现对攻击事件、访问事件的实时监控能力;
3) 通过合理的网站备份,能及时恢复受攻击的网站;
4) 制定安全管理、安全运维、应急操作管理制度和流程。
3. 整改方案说明
3.1. 网络拓扑
3.2. 方案说明
安全区域划分
如图示,划分为主应用服务器区、主数据库服务器区、备用服务器区、互联网接入区,安全区域划分后,可以很方便明确哪个区域容易遭受攻击,哪个区域需要重点保护等等,并且可以进一步在相应的区域间部署相应网络安全设备。
互联网防火墙部署
如图①所示,在互联网接入边界,部署作为基本防护措施的防火墙设备,实现端口级别的控制,降低到下一个设备的违规流量。
Web防火墙部署
如图②所示,部署web防火墙,实现对网站合法端口上的各种攻击防护,如SQL注入攻击、跨站攻击等等,并记录网站访问行为。
内网防火墙部署
如图③所示,部署内网区域隔离防火墙,对主应用服务器区、主数据库服务器区、备用服务器区之间的网络互访进行访问控制,隔离其他不需要的流量。
入侵检测系统部署
如图④所示,部署入侵检测系统,同时检测内网2个交换机的网络流量,对内部流量、互联网流量进行实时检测,及时发现透过web防火墙的入侵流量,并进行报警,必要时可以与互联网接入防火墙实现安全联动。
4. 方案效果说明
通过上述整改后的网络安全方案,至少可以实现如下效果:
1) 在互联网接入部分,同时部署有防火墙和web防火墙,可以各司其职的分别对网络端口、应用流量攻击进行检测和自动阻断,只要设备特别是web防火墙的特征码实时更新,基本可以防护所有的来自互联网的攻击。另外上述设备具备的日志功能,可以基本满足对攻击日志、日常访问日志的记录和审计使用;
2) 在内网,按照应用系统的安全级别、使用方式等进行安全区域划分,并通过内网防火墙实现区域间访问控制,进一步加强内部网络互访控制措施;
3) 在内网部署入侵检测系统,是作为web防火墙的补充和二次检测使用,建议此处使用与web防火墙不同品牌的入侵检测系统,使用不同的攻击代码特征库,实现互补措施,并且通过该设备,可以对网络内部、互联网流量情况进行报表分析,便于管理员实施了解网络访问状况。
其他方面,“三份技术,七分管理”,是经常提起的一句话,现状也说明赵明的运维确实存在安全管理问题,所以建议赵明完善网络安全运维制度、应急响应操作规范等制度规范,不要再工作时间睡觉,不要再发现入侵时无所事事。
【.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
- Juniper防火墙加绿盟冰之眼加固网站(拯救赵明)
- 防火墙加web应用防火墙解决赵明问题
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/131922.html<
