日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com 獨家特稿】在“拯救網(wǎng)站運維經(jīng)理趙明活動”開始后，李洋為我們投來了多層防御的一個解決方案。

寶雞ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

越來越多的網(wǎng)站面臨著趙明所運維的Web網(wǎng)站系統(tǒng)的安全威脅和問題，當前許多的解決方案更多的依賴于單一的技術(shù)或者設(shè)備來機械式地進行疊加的防護。其實，針對該問題的解決方案從安全的本質(zhì)來說，需要從安全原則及其實現(xiàn)的技術(shù)和網(wǎng)絡(luò)拓撲來進行“標本兼治”，方能從根本上救得了趙明，從此以后高枕無憂，將黑客“拒之門外”。因此，本方案首先對趙明運維的系統(tǒng)進行詳細的安全分析，給出安全風險，然后給出相應(yīng)的解決方案的原則和技術(shù)，并根據(jù)原則來提供具體實施的網(wǎng)絡(luò)拓撲和部署要點，在最后給出了具體實施所采用的主要安全產(chǎn)品選型，希望給趙明和廣大的網(wǎng)絡(luò)管理員提供參考。

一、 Web系統(tǒng)風險分析

從風險發(fā)生的位置來看，趙明所運維的Web網(wǎng)站系統(tǒng)主要面臨如下兩類安全風險：

1、用戶側(cè)和傳輸網(wǎng)絡(luò)側(cè)

a) 惡意用戶采用黑客工具構(gòu)造惡意報文對暴露在公網(wǎng)的網(wǎng)上系統(tǒng)進行拒絕服務(wù)攻擊

b) 惡意用戶通過Web瀏覽器的登陸界面對合法用戶的用戶名和密碼進行猜測，從而冒充合法用戶進行網(wǎng)頁訪問和系統(tǒng)使用

c) 惡意用戶通過構(gòu)造非法的、可能被網(wǎng)上系統(tǒng)錯誤識別和執(zhí)行的代碼嵌入在提交的表單中，引起不正常的信息泄露，甚至系統(tǒng)崩潰

d) 惡意用戶可能在傳輸網(wǎng)絡(luò)中通過非法竊取合法用戶的通信報文，從而獲得本不應(yīng)該獲得的敏感信息

e) 用戶被引導(dǎo)進入其他的非法網(wǎng)站，如現(xiàn)在流行的釣魚網(wǎng)站（phishing）等等，從而在不知情的情況下泄露個人機密信息，造成經(jīng)濟損失

2、系統(tǒng)服務(wù)器側(cè)

a) 面臨來自用戶側(cè)的拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊

b) 面臨在遭受攻擊后，由于服務(wù)器側(cè)網(wǎng)絡(luò)架構(gòu)劃分和隔離措施不嚴謹，可能造成“雪崩效應(yīng)”，整個服務(wù)器機群的癱瘓，比如，由于Web服務(wù)器癱瘓，導(dǎo)致后臺數(shù)據(jù)庫服務(wù)器、管理服務(wù)器等的連鎖癱瘓

c) 面臨由于服務(wù)器側(cè)的軟件實現(xiàn)不合理，尤其是數(shù)據(jù)庫權(quán)限和視圖等的不合理，導(dǎo)致用戶的錯誤或者非法輸入引起機密信息泄露或者是遭受SQL injection攻擊等

d) 面臨在服務(wù)器遭受攻擊后，沒有相應(yīng)的備服務(wù)器接管服務(wù)，造成服務(wù)終端，引起用戶業(yè)務(wù)體驗嚴重受損

e) 面臨在服務(wù)器遭受攻擊后，沒有健全的災(zāi)難備份和恢復(fù)措施對關(guān)鍵的業(yè)務(wù)數(shù)據(jù)及其業(yè)務(wù)進行恢復(fù)

二、 方案的原則和思路

依據(jù)網(wǎng)絡(luò)安全領(lǐng)域最為流行的4A（認證Authentication、賬號Account、授權(quán)Authorization、審計Audit）、P2DR模型（策略Policy、保護Protection、監(jiān)測Detection、反應(yīng)Response）及ISO等主流標準的要求，并結(jié)合趙明Web系統(tǒng)的應(yīng)用需求，切實保證趙明運維的網(wǎng)站能夠從根本上解決黑客攻擊防御和事后的審計和追蹤問題，并特別強調(diào)網(wǎng)站的安全設(shè)計和防護原則從天生上就有應(yīng)對黑客攻擊的“免疫力”，所以從五大方面進行考慮：

1. 網(wǎng)絡(luò)拓撲結(jié)構(gòu)：合理的拓撲結(jié)構(gòu)能夠有效地抑制黑客攻擊，即便在黑客攻擊后也能使得攻擊的影響降低到最小程度；

2. 安全原則：用戶認證、帳號管理、加密傳輸?shù)仍瓌t的綜合部署和使用，能從根本上多層面地增強網(wǎng)站的健壯性，數(shù)據(jù)的完整性和可靠性，從而保證網(wǎng)絡(luò)和信息安全；

3. 審計和追蹤：強大和適時的審計和追蹤，能夠使得網(wǎng)站的防御體系能夠盡快地從黑客攻擊中解脫出來，完成對黑客的追蹤，并通過相應(yīng)手段來增強網(wǎng)站的抗攻擊性；

4. 備份和災(zāi)難恢復(fù)：能夠保證在黑客攻擊以及自然災(zāi)害下，網(wǎng)站系統(tǒng)運維的365*24*7（小時）不間斷地業(yè)務(wù)運行；

5. 自我漏洞挖掘及防護：能夠周期性、自發(fā)地對Web系統(tǒng)的漏洞進行自我挖掘，并根據(jù)挖掘的漏洞通過各種安全機制和補丁等方式進行防護，以有效地避免“零日攻擊”等。

根據(jù)上述原則，建議從如下10個方面進行方案制定：

1. Web系統(tǒng)用戶的身份認證和鑒權(quán)機制：

a) 采用用戶名+密碼驗證，確認用戶登錄身份，并根據(jù)數(shù)據(jù)庫中預(yù)設(shè)的權(quán)限，向用戶展示相應(yīng)的視圖和表單

b) 對于重要的Web系統(tǒng)應(yīng)用，需要根據(jù)PKI機制，驗證用戶提供的證書，從而對用戶身份認證（服務(wù)器對客戶端認證），并確保交易的不可抵賴性。證書的提供可以采用兩種方式：

i. 文件證書：保存在用戶磁盤和文件系統(tǒng)上，有一定的安全風險，但是可以免費

ii. USB設(shè)備存儲的證書：保存在USB設(shè)備上，安全性很高，但是目前使用一般需要對用戶收費

2. Web系統(tǒng)數(shù)據(jù)的加密傳輸和用戶對Web系統(tǒng)服務(wù)器的驗證

a) 對于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用，采用SSL+數(shù)字證書結(jié)合的方式（即HTTPS協(xié)議），保證通信數(shù)據(jù)的加密傳輸，同時也保證了用戶端對服務(wù)器端的認證，避免用戶被冒充合法網(wǎng)站的“釣魚網(wǎng)站”欺騙，從而泄露機密信息（用戶名和密碼等），造成不可挽回的經(jīng)濟損失。

3. 基于用戶賬號的使用行為的日志記錄及其審計

a) 系統(tǒng)服務(wù)器側(cè)應(yīng)根據(jù)賬號，對用戶的使用行為進行詳細的日志記錄和審計，通過上述因素的日志記錄，進行階段性的審計（時間間隔應(yīng)該比較小），從而做到發(fā)現(xiàn)用戶賬號的盜用、惡意使用等問題，盡早進行處理

4. 惡意用戶流量的檢測、過濾及阻斷

a) 系統(tǒng)服務(wù)器側(cè)應(yīng)部署IDS入侵檢測系統(tǒng)、IPS入侵防護系統(tǒng)、防火墻等設(shè)備，或者部署目前高效、流行的UTM（統(tǒng)一威脅管理）設(shè)備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發(fā)流量等。

5. 對用戶的非正常應(yīng)用請求的過濾和處理

a) 系統(tǒng)的服務(wù)器端，尤其是數(shù)據(jù)庫服務(wù)器端，應(yīng)該通過配置和增加對用戶非常長應(yīng)用請求的過濾和處理模塊，以避免由于數(shù)據(jù)庫的自身漏洞未及時打上補丁，而遭受目前流行的SQL 注入攻擊等。

6. Web系統(tǒng)服務(wù)器側(cè)的合理子網(wǎng)劃分及流量分割

a) 系統(tǒng)服務(wù)器側(cè)包括大量的服務(wù)器類型，包括數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等，為了避免由于惡意流量造成的某種服務(wù)器崩潰，而引起的攻擊后果擴散，并最終導(dǎo)致其他服務(wù)器也發(fā)生“雪崩效應(yīng)”，則需要通過子網(wǎng)隔離（比如VLAN劃分）、DMZ區(qū)域的設(shè)定等方式來將這些服務(wù)器放置在不同的安全域當中，做到流量和數(shù)據(jù)的安全隔離，從而將服務(wù)器端在遭受攻擊后對整個業(yè)務(wù)系統(tǒng)及其他內(nèi)網(wǎng)資源和數(shù)據(jù)造成的影響盡量控制在最低的范圍內(nèi)。

7. Web系統(tǒng)服務(wù)器側(cè)的負載均衡及負載保護機制

a) 系統(tǒng)面臨著巨大的服務(wù)量，服務(wù)器端的設(shè)備基本上都需要有多臺服務(wù)器進行業(yè)務(wù)分擔，這樣才能提高性能，避免處理瓶頸的出現(xiàn)，因此，需要采用合理的負載均衡和負載保護機制

b) 對各服務(wù)器的業(yè)務(wù)流量進行有效地分擔，可按照Round Robin、LRU等方式來進行負載均衡

c) 負載保護機制需要實時地對每臺服務(wù)器的CPU資源、內(nèi)存資源等進行評估，如果一旦超過設(shè)定的閾值（80%或者以上），將馬上進行過載保護，從而保證服務(wù)器自身的安全

8. Web系統(tǒng)服務(wù)器側(cè)的災(zāi)難備份及恢復(fù)策略

a) 任何系統(tǒng)都不能說100%的安全，都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作，需要著重考慮如下幾點：

i. 選擇合適的備份策略，做好提前備份，包括全備份、差分備份、增量備份等等

ii. 選擇合適的備份介質(zhì)，包括磁帶、光盤、RAID磁盤陣列等

iii. 選擇合適的備份地點，包括本地備份、遠程備份等等

iv. 選擇合適的備份技術(shù)，包括NAS、SAN、DAS等等

v. 作好備份的后期維護和安全審計跟蹤

9. Web系統(tǒng)服務(wù)器的安全管理

a) 系統(tǒng)功能復(fù)雜，業(yè)務(wù)數(shù)據(jù)敏感，保密級別比較高，并且對不同管理人員的權(quán)限、角色要求都不盡相同，為了保證安全管理，避免內(nèi)部管理中出現(xiàn)安全問題，建議作如下要求：

i. 嚴格劃分管理人員的角色及其對應(yīng)的權(quán)限，避免一權(quán)獨攬，引起安全隱患；

ii. 作好服務(wù)器機房的物理條件管理，避免電子泄露、避免由于靜電等引起的故障；

iii. 應(yīng)作好服務(wù)器管理員的帳號/口令管理，要求使用強口令，避免內(nèi)部人員盜用；

iv. 作好服務(wù)器的端口最小化管理，避免內(nèi)部人員掃描得出服務(wù)器的不必要的開放端口及其漏洞，實行內(nèi)部攻擊；

v. 作好服務(wù)器系統(tǒng)軟件、應(yīng)用軟件的日志管理和補丁管理工作，便于審計和避免由于安全漏洞而遭受到內(nèi)部人員的攻擊；

vi. 根據(jù)業(yè)務(wù)和數(shù)據(jù)的機密等級需求，嚴格劃分服務(wù)器的安全域，避免信息泄露。

10. 網(wǎng)站漏洞自我挖掘及防護：采用漏洞掃描和挖掘設(shè)備，對內(nèi)網(wǎng)各服務(wù)器進行階段性的掃描，并根據(jù)掃描所得的風險和漏洞進行及時地修補，以實現(xiàn)該漏洞為黑客使用之前進行自行修復(fù)的目的。

三、 網(wǎng)絡(luò)拓撲及要點剖析

1、 網(wǎng)絡(luò)拓撲

方案的網(wǎng)絡(luò)拓撲如下所示：

2、部署要點解析

（1）防火墻的設(shè)置

圖中所示防火墻的設(shè)置原則如下：

采用外部和內(nèi)外防火墻雙重設(shè)置，以切實保障外部流量進入HTTP反向代理服務(wù)器（DMZ區(qū)域）和內(nèi)部網(wǎng)絡(luò)前均通過安全檢測；

內(nèi)部和外部防火墻的使用應(yīng)盡量采取不同廠家和不同型號的防火墻設(shè)備，以提高防火墻的防護性能。

（2）HTTP反向代理服務(wù)器的設(shè)置

通過設(shè)置反向代理服務(wù)器，可以起到如下安全防護作用：

隱藏內(nèi)部Web服務(wù)器的IP地址，外部用戶根本感覺不到反向代理服務(wù)器的存在，極大地降低網(wǎng)絡(luò)內(nèi)部Web服務(wù)器被攻擊的風險和概率；

反向代理服務(wù)器可以緩存內(nèi)部Web服務(wù)器的部分數(shù)據(jù)，可以減輕內(nèi)部服務(wù)器的負載壓力，提升服務(wù)質(zhì)量；

作為一個堡壘主機，即算反向代理務(wù)器遭受攻擊，由于內(nèi)外部防火墻的設(shè)置，也不會影響到內(nèi)部的網(wǎng)絡(luò)服務(wù)器安全。

（3）IPS的設(shè)置

使用上述方法設(shè)置IPS，可以起到如下安全防護和異常阻斷作用：

對從反向代理服務(wù)器流向內(nèi)部的流量和請求在內(nèi)部的入口端進行過濾，成為防火墻后的第二層防護點，從源頭保證內(nèi)部安全；

對內(nèi)網(wǎng)的異常狀況可以進行實時的檢測，即算有威脅和異常源自內(nèi)部而對服務(wù)器發(fā)生破壞作用，如篡改網(wǎng)頁、刪除文件等，也能進行有效地監(jiān)控、審計和記錄，從而保證內(nèi)網(wǎng)安全。

四、 主要安全產(chǎn)品選型

由于趙明目前主要需要解決的是入侵防護問題，因此下面主要給出與其相關(guān)的IPS和漏洞掃描的安全產(chǎn)品選型，其他的如存儲備份設(shè)備、防火墻設(shè)備的選型可以根據(jù)企業(yè)的實際情況進行選擇使用，本方案不作過多推薦和描述。

1、綠盟網(wǎng)絡(luò)入侵防護系統(tǒng) IPS

綠盟網(wǎng)絡(luò)入侵防護系統(tǒng)  （NSFOCUS  Network  Intrusion  Prevention System，簡稱：NSFOCUS NIPS） 是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產(chǎn)品彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護解決方案。綠盟網(wǎng)絡(luò)入侵防護系統(tǒng)是網(wǎng)絡(luò)入侵防護系統(tǒng)同類產(chǎn)品中的精品典范，該產(chǎn)品高度融合高性能、高安全性、高可靠性和易操作性等特性，產(chǎn)品內(nèi)置Web信譽機制，同時具備深度入侵防護、精細流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項功能，能夠為用戶提供深度攻擊防御和應(yīng)用帶寬保護的完美價值體驗。

入侵防護：實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。

Web威脅防護：基于互聯(lián)網(wǎng)Web站點的掛馬檢測結(jié)果，結(jié)合URL信譽評價技術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。

流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

用戶上網(wǎng)行為監(jiān)管：全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

2、綠盟遠程安全評估系統(tǒng)

每年都有數(shù)以千計的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，加上攻擊者手段的不斷變化，網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴峻。事實證明，99%的攻擊事件都利用了未修補的漏洞，使得許多已經(jīng)部署了防火墻、入侵檢測系統(tǒng)和防病毒軟件的企業(yè)仍然飽受漏洞攻擊之苦，蒙受巨大的經(jīng)濟損失。

尋根溯源，絕大多數(shù)用戶缺乏一套完整、有效的漏洞管理工作流程，未能落實定期評估與漏洞修補工作。只有比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好預(yù)防工作，才能夠有效地避免由于攻擊所造成的損失。

綠盟遠程安全評估系統(tǒng) （NSFOCUS Remote Security Assessment System， 簡稱：NSFOCUS RSAS）第一時間主動診斷安全漏洞并提供專業(yè)防護建議，讓攻擊者無機可乘，其主要特點為：

依托專業(yè)的NSFOCUS安全研究團隊，綜合運用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動、高效、及時準確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；

針對網(wǎng)絡(luò)資產(chǎn)的安全漏洞進行詳細分析，采用權(quán)威的風險評估模型量化風險，提供專業(yè)的解決方案；

融合Open VM（Open Vulnerability Management）開放漏洞管理工作流程，提供真正有效的漏洞管理解決方案；為降低企業(yè)的安全風險提供強有力的保障。

當前標題：“標本兼治”救趙明將黑客“拒之門外”
文章分享：http://www.5511xx.com/article/dhcocgh.html