怎么着缓和开源Web设备中的安全故障,什么是W
分类:pc28.am

有些人可能认为,在线安全正在朝着更坏的方向改变。随着Web设备在企业中流行开来,它们也成为黑客的宠儿。

当Web应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。

目前,针对Web的攻击手段日益增多,拒绝服务攻击、网络钓鱼、SQL注入等等层出不穷,而企业门户网站是企业的“脸面”,如何保证其安全是运维人员、安全管理人员、CIO等需要深思熟虑的问题。本文将针对这个问题,首先对企业门户Web系统进行详细的安全威胁分析,然后给出相应解决方案的原则和技术,并根据原则来提供具体实施的网络拓扑和部署要点。

作为站长兢兢业业的编辑推广,辛辛苦苦才收点广告费,网站流量大了便会时常面对黑客的攻击,我的网站遭遇了两次因攻击死亡或瘫痪的经历,第一次是织梦CMS被博彩整站篡改网站死亡,第二次是刚刚经历的流量攻击网站多次瘫痪流量波动,故总结下常见的网站攻击方式和防护方法,以供自己和大家参见,因安全这方面我也是小白,这里以小白看得懂的语言分类编写,如总结有误或不足,望大神们不吝赐教。

由于越来越多的公司网站运行Drupal等开源设备且运用由WordPress技术支持的企业博客,可能遭受攻击和承受高代价利用的受害者也越来越多。960网格系统和Learning jQuery都费劲地学习过这一课。在这些公司严肃地看待固化开源平台之前,令人尴尬且代价及高的攻击造成了大破坏。其它没有采取适当预前措施来隔绝这些危胁的公司会面临相同的命运。

Web应用防护墙(Web Application Firewall,简称WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

 

图片 1

如果你已经考虑把开源设备作为企业的一部分,我们这里为你列出了一些开源Web设备造成的安全故障并提出了解决方案。

WAF通过记录分析黑客攻击样本库及漏洞情况,使用数千台防御设备和骨干网络以及安全替身、攻击溯源等前沿技术,构建网站应用级入侵防御系统,解决网页篡改、数据泄露和访问不稳定等异常问题,保障网站数据安全性和应用程序可用性。

  一、企业门户网站系统面临的威胁

第一种:网页篡改

开源Web设备中的常见故障

图片 2

 

攻击描述:针对网站程序漏洞,植入木马(webshell、跨站脚本攻击),篡改网页,添加黑链或者嵌入非本站信息,甚至是创建大量目录网页,以博彩攻击织梦CMS最常见。

像你一样,黑客喜欢开源设备免费且容易访问给定“开放”源代码这些优点。举例来说,如果黑客能部署脚本来盗取信息或控制单一硬件上的Web设备,他很容易就能复制这些破坏性的结果来影响用户或分享同一代码库的多个网站。以下是原因:

WAF的工作原理

  企业门户网站系统在运行安全和数据安全方面面临着非常大的威胁,主要包括运行安全威胁和数据安全威胁。

危害说明:网站信息被篡改,本站访客不信任,搜索引擎(百度为例)和安全平台(安全联盟为例)检测到你的网站被挂马,会在搜索结果提示安全风险,搜索引擎和浏览器都会拦截访问。

很多开源设备依赖于容易被利用的老版脚本语言。插入开源设备的模块必须和总项目分开来维持。由于没有修补,这些模块会造成整个设备的问题。

WAF部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如SQL注入,跨站脚本攻击,文件包含和安全配置错误)的攻击。

 

处理方法:

小一些的开源项目通常在长时间都是未修补的状态。这个扩展的窗口让你的文件处于被利用的高度危险中。

WAF的出现解决了传统防火墙无法解决的针对应用层的攻击问题:

  (1)运行安全威胁

1、程序设置:更换程序、更新补丁、修补漏洞、设置权限、经常备份

黑客创建专门造成设备故障的僵尸程序。当孜孜不倦的“工人”大军日以继夜地尝试着参透密码时,很容易就完成了利用。

WAF会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求,从而减少攻击的影响范围;WAF增强了输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,减小Web服务器被攻击的可能;WAF可以对用户访问行为进行监测,为Web应用提供基于各类安全规则与异常事件的保护;WAF还有一些安全增强的功能,用以解决WEB程序员过分信任输入数据带来的问题,如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护等。WAF有哪些功能

 

2、漏洞查杀:360网站检测、360主机卫士

锁定管理级特权是让网络盗贼能够轻易危害代码的常见疏忽。XML-RPC之类的程序调用被频繁利用,跨站脚本攻击和SQL注入攻击常给开源平台带来麻烦。

攻击防护:智能识别Web系统服务状态,实时在线优化防御规则库、分发虚拟补丁程序,提供持续的安全防御支持。数千台防御设备,数百GB海量带宽和内部高速传输网络,实时有效抵御各类DDoS攻击、CC攻击。

  主要是指企业门户网站在提供对外服务的过程中,恶意用户(黑客)可以通过一些公开的服务端口、公开的服务信息等来组织和实施攻击,从而使得企业门户网站服务不可用,导致其运行安全问题。

3、申诉平台:安全联盟

锁定开源Web设备

安全替身:通过前沿的安全替身技术,虚拟补丁服务,采用主动发现、协同防御的方式将Web安全问题化于无形。即使在极端情况下,Web系统被入侵,甚至被完全破坏,也能重新构造安全内容,以保障系统正常服务。

 

第二种:流量攻击

了解就成功了一半,锁定开源Web设备的策略很多。为了在你的在线业务获得成功并得到终端用户的信任,适当的保护很重要。

攻击溯源:现有全球30万黑客档案库及漏洞情况服务中心,对攻击进行实时拦截、联动动态分析。通过百亿日志的大数据分析追溯攻击人员和事件,并利用“反向APT”技术完善黑客档案库,为攻击取证提供详尽依据。

  主要的攻击行为包括:恶意用户采用黑客工具构造恶意报文对暴露在公网的网上系统进行拒绝服务攻击,甚至是利用多个网络结点形成的僵尸网络,构成分布式拒绝服务攻击;并且,面临在遭受攻击后,由于服务器侧网络架构划分和隔离措施不严谨,黑客可能利用这个部署上的漏洞,导致整个服务器机群的瘫痪,比如,由于Web服务器瘫痪,黑客以Web服务器为跳板,从而攻击后台数据库服务器等内网关键资源等。

攻击描述:CC攻击:借助代理服务器模拟多个用户不停的对网站进行访问请求,DDOS攻击:控制多台电脑向网站发送访问请求,以CC攻击最为普遍,采用大量数据包淹没一个或多个路由器、服务器和防火墙。

让我们用两个公司范例来做背景,讨论一下常见的开源破坏及我们为达更好的保护级别所能做的事情。

登录安全:通过对登录过程中失败的用户名、密码、登录评率和登录后地域变化等多因素进行关联判断,从而实现Web系统登录安全。WAF的应用场景

 

危害说明:CC攻击会使服务器CPU达到峰值100%,网站瘫痪无法正常打开,IIS停止服务,出现503状态无法自动恢复;百度蜘蛛无法抓取网站,清空索引及排名,流量下滑(我这次就是因为春节期间4天没处理就被百度清空了,好在申诉恢复了,百度因为360的竞争现在相当勤奋)。

当运行Textpattern CMS时,960网格系统经历了危害操作系统的攻击。破坏给这些坏人提供完全的服务器和FTP访问,一旦黑客进入,他们上载了到网站的恶意且令人尴尬的图片,目的是造成不良的搜索引擎优化利益。这类攻击很难发现,因为对公共访客来说,这个网站表面上运行平衡正确。运行开源Web设备时,有大量技巧可以保护960网格系统不受这些问题的危害:

防恶意攻击:防止竞争对手恶意攻击或黑客敲诈勒索,导致的请求超时,瞬断,不稳定等问题。

  (2)数据安全威胁

处理方式:

设备固化包括操作系统和数据库)。操作系统和数据库安装应该仔细完成。避免默认设置并保持严格的许可控制。重命名文件扩展名来掩饰设备类型,并移除所有非必要的功能及特征以关闭尽可能多的虚拟“漏洞”。另外就是补丁、补丁再补丁了。特别是在开源环境中,更新成功防止了危害。相同的规则还应用在脚本语言中,这些语言可能在服务器上运用。服务器固化。移除信息如应答标题),它们可能帮助僵尸程序或攻击识别服务器上运行着的设备版本及类型。频繁修补并执行服务器日志的人工检查会帮助识别不寻常状况。

防数据泄露:防止黑客通过SQL注入、网页木马等攻击手段入侵网站数据库,获取核心业务数据。

 

1、选择大型安全有防火墙的主机服务商:阿里云、西部数码、新网互联

强有力的密码和访问控制。使用包含数字、大小写字母和特殊字符的密码,千万不要用字典术语。此外,有规律地重置它们。控制到管理密码的访问并只根据需求授予数据库证书。决不要使用数据库用户的SA或根帐户,限制所有公共及端口访问来设置管理员区域,并禁止向除了80/443之外的的任何端口开放服务器,这些在各自通过HTTP/HTTPS传递网页时都很需要。

防网页篡改:防止黑客通过扫描系统漏洞,植入木马后修改页面内容或发布不良信息,影响网站形象。

  主要是指企业门户网站在服务中涉及的用户数据、通信数据等由于黑客的窃听、重定向等,导致的数据非法泄露。

2、网站监控:360网站监控(不推荐百度云观测,慢5分钟提示短信不明)

系统日志监控。密切关注你的系统日志并确保没有成功的非法登录情况。运行故障审计并有规律地最少一季一次)浏览你的设备来迅速地帮助识别威胁、破坏和可疑活动。

安全合规要求:符合相关法律法规要求,满足信息系统安全等级保护需求。

 

3、CDN防护:加速乐、云盾(不推荐百度云加速,1000次CC攻击便会崩溃,360网站卫士因审核较严未通过不评价)

Learning jQuery是FireHost的一位客户,它经历了一次完全不同类型的攻击:SQL注入攻击,这种攻击利用WordPress数据库层的开源安全故障。WordPress和其它内容管理系统CMS)供应商一直在为领先于SQL注入故障不懈努力,它们通过修补来前瞻性地确定故障。不幸的是,Learning jQuery的网站是这个问题的早期受害者。

天下数据Web应用防火墙是基于 AI 引擎的一站式 Web 业务运营风险防护方案,帮助用户应对网站入侵,漏洞利用,挂马,篡改,后门,爬虫Bot,域名劫持等安全问题,为组织网站及Web业务安全运营保驾护航。详询天下数据客服。

  主要的攻击行为包括:恶意用户通过Web浏览器的登陆界面对合法用户的用户名和密码进行猜测,从而冒充合法用户进行网页访问和系统使用;恶意用户通过构造非法的、可能被网上系统错误识别和执行的代码嵌入在提交的表单中,引起不正常的信息泄露,甚至系统崩溃;恶意用户可能在传输网络中通过非法窃取合法用户的通信报文,从而获得本不应该获得的敏感信息;用户被引导进入其他的非法网站,如现在流行的钓鱼网站(phishing)等等,从而在不知情的情况下泄露个人机密信息,造成经济损失等。

4、服务器:服务器安全狗(未专业慎装,网站会变慢)、网站安全狗、金山毒霸企业版

周期性地,当CMS供应商还在努力保持领先位置时黑客也在创新和适应。Web设备防火墙WAF)帮助缩小黑客创新和CMS供应商修补程序之间的差距。WAF在它能得到代码并阻止可疑访客获取服务之前检查Web流量。当WAF与入侵防护、侦测系统和其它网络级屏障协作时,阻止攻击的能力以指数方式增长。如果这类网络层防护已经在适当的位置,Learning jQuery的网站也许不会遭受恶意攻击的猛攻。

 

5、申诉:百度站长平台

避免开源Web设备破坏

  二、层次化防御方案

第三种:数据库攻击

开源内容管理系统的增长和普及改变了安全形势并让这个过程更危险。但是有些开发者或技术工程师已经有确保Web设备及它们的托管环境)安全的经验,有了他们的帮助,你就能实施这些方法并阻止网络盗贼的入侵。有适当的预防措施、注意细节且保证维持开源网站,公司的开源Web设备运用一定会成功且卓有成效。

 

攻击描述:SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

由于越来越多的公司网站运...

  2.1 设计安全网络拓扑

危害说明:数据库入侵,用户信息泄露,数据表被篡改,植入后门,数据库被篡改比网页文件被篡改危害大得多,因为网页都是通过数据库生成的。

 

处理方式:

  设计安全的拓扑,是保证企业门户网站安全的第一步,它可以有效地从网络层和应用层来抵御外来的攻击,从而保证运行安全。

1、在各种信息提交框处加验证

 

2、数据库防火墙

  其中主要包括如下几个层面:

3、参见第二种处理方式

 

第四种:恶意扫描

  (1)网络层防御

攻击描述:黑客为了攻击网站通过工具自动扫描漏洞。

 

危害说明:发现漏洞,进而攻击。

  部署防火墙可以有效地进行网络层防御,阻止外来攻击,包括拒绝服务攻击和分布式拒绝服务攻击,重点过滤恶意流量、突发流量等。更为重要的是:在防火墙上通过有效地使用DMZ(demilitarized zone,非军事化区),可以将外部网络和内部网络进行有效地隔离,从而达到即使DMZ区域被攻击,也不会影响到内网资源安全的目的。

处理方式:

 

1、关闭闲置端口,修改默认端口

  在部署过程中,建议采用异构的二路防火墙方式。也就是,使用不同厂家不同型号的两种防火墙,分别来作为企业的内部和外部防火墙,这样,能够很好地达到分离内外网以及安全增强的目的,这样即使一路防火墙被攻击,也很难影响到二路防火墙,因为黑客需要更多地精力来对不同的防火墙进行分析和实施攻击行为。如下图所示的异构二路防火墙部署方式:

2、参见第二种处理方式

图片 3

第五种:域名攻击

 

域名被盗:域名所有权被转移,域名注册商被转移;

 

DNS域名劫持:伪造DNS服务器,指引用户指向错误的一个域名地址,

  (2)应用层防御

域名泛解析:域名被泛解析很多二级域名网站指向黑客网站,中国政府域名和较大流量个人站很受博彩欢迎。

 

危害说明:失去域名控制权,域名会被绑定解析到黑客网站,被泛解析权重会分散,引起搜索引擎、安全平台不信任从而降权标黑。

  在防火墙的后面,加入应用层防御的设备,如IPS(Intrusion Prevention System,入侵防御系统)、WAF(Web Application Firewall,Web应用防火墙)、UTM(Unified Threat Management,统一威胁管理)等,对来自外部企业门户的网站从应用层(包括URL链接、网页内容等)进行细粒度的过滤和检测,出现恶意内容等及时进行阻断。并且,对于SQL注入攻击、缓冲区溢出攻击、篡改网页、删除文件等也有很好的抑制和阻断作用。

处理方式:

 

1、选择大型知名域名注册商,填写真实信息,锁定域名禁止转移:西部数码、新网互联、GoDaddy,并不推荐中国万网和谐不实用

  (3)负载均衡

2、保证域名注册邮箱安全

 

3、选择大型稳定域名解析商:DNSPod,锁定解析

  企业门户网站系统服务器侧需要具备负载均衡及负载保护机制。因为,系统面临着巨大的服务量,服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,避免处理瓶颈的出现,因此,需要采用合理的负载均衡和负载保护机制对各服务器的业务流量进行有效地分担,可按照Round Robin、LRU(Least Recently Used)等方式来进行负载均衡;另外,负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估,如果一旦超过设定的阈值(80%或者以上),将马上进行过载保护,从而保证服务器自身的安全。

4、申诉平台:百度站长平台

 

  通常,有2种实现方式。一种是购买成熟的硬件负载均衡产品,如F5等来对网站的流量进行控制和分流,以保证后台各服务器的流量均衡以及高可用,不过花费较高;一种是通过使用开源系统软件LVS(Linux Virtual Server,Linux虚拟服务器)、Nginx(Engine X)等负载均衡软件来构建应用,这样可以节约一定的资金

 

 

2.2  强化用户访问控制

 

  设计好的访问控制策略和手段,可以从很大程度上避免非法用户的访问,从而保护企业门户网站安全。目前适合企业门户网站的认证方式如下,可以采用一种或者结合几种方式:

 

用户名 密码:最为传统的验证方式;

数字证书:对于重要的Web系统应用,需要根据PKI(Public Key Infrastructure,公钥体制)机制,验证用户提供的证书,从而对用户身份认证(通常情况下是服务器对客户端认证,也可以建立双向认证,即用户对服务器进行认证,以防止假冒的非法网站),并确保交易的不可抵赖性。证书的提供可以采用两种方式:

  1)文件证书:保存在用户磁盘和文件系统上,有一定的安全风险;

  2)USB设备存储的证书:保存在USB设备上,安全性很高。

  2.3  加密通信数据

 

  可以采用成熟的SSL(Secure Socket Layer,安全套接字层)机制,来保证Web系统数据的加密传输和用户对Web系统服务器的验证。对于使用Web浏览器的网上系统应用,采用SSL 数字证书结合的方式(即HTTPS协议),保证通信数据的加密传输,同时也保证了用户端对服务器端的认证,避免用户被冒充合法网站的“钓鱼网站”欺骗,从而泄露机密信息(用户名和密码等),造成不可挽回的经济损失。

 

  在使用SSL的过程中,首先需要申请好相应的数字证书。一般来说,有两种处理方法。

 

  1)一种是申请权威机构颁发的数字证书,如VeriSign,GlobalSign等机构颁发的数字证书,这需要一定的费用,好处是当前几乎所有的主流浏览器都能够很好地支持,也就是只需要在企业门户网站的服务器上部署该证书即能在客户端和服务器端建立SSL加密通道;

  2)另一种是由企业使用OpenSSL等开源工具来生成相应的根证书和服务器证书,这样能够节约一大笔费用,但是缺点是主流浏览器并不能很好地支持,需要在客户端和服务器端分别部署根证书和服务器证书,这样在客户端非常多的时候不好处理,同时用户体验也很差。

 

  2.4  做好风险控制

 

  风险控制是在攻击发生前对企业门户网站使用渗透测试等技术手段来挖掘、分析、评价,并使用打补丁、实施安全技术和设备的办法来解决网站可能存在的各种风险、漏洞。这需要周期性、自发地对Web系统的漏洞进行自我挖掘,并根据挖掘的漏洞通过各种安全机制和补丁等方式进行防护,以有效地避免“零日攻击”等。

 

  目前,企业门户网站可以通过使用端口扫描、攻击模拟等方式来对企业门户网站的开放端口、服务、操作系统类型等进行获取,并利用其相关漏洞进行攻击测试。并根据测试的结果来通过各种方式加固该系统的安全,以避免被黑客等利用来进行攻击。

 

  2.5  健全访问日志审计

 

  企业门户网站作为开放门户,且基于HTTP协议,因此在用户访问时会产生大量的访问日志。网站管理者需要对这些日志进行详细地记录、存储,并以备日后的分析取证。实践证明,很多的拒绝服务攻击以及其他攻击方式都会在系统中留下日志,比如IP地址信息、访问的URL链接等,这都可以作为网站管理员的审计素材,为阻断黑客的下一次进攻,保证网站安全打下基础。

 

  2.6  事前灾难备份

 

  任何系统都不能说100%的安全,都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作,需要着重考虑如下几点:

 

  1)选择合适的备份策略,做好提前备份,包括全备份、差分备份、增量备份等等

  2)选择合适的备份介质,包括磁带、光盘、RAID磁盘阵列等

  3)选择合适的备份地点,包括本地备份、远程备份等等

  4)选择合适的备份技术,包括NAS、SAN、DAS等等

  5)做好备份的后期维护和安全审计跟踪

 

  2.7  统筹安全管理

 

  企业门户网站系统一般功能复杂,业务数据敏感,保密级别比较高,并且对不同管理人员的权限、角色要求都不尽相同,为了保证安全管理,避免内部管理中出现安全问题,建议作如下要求:

 

  1)严格划分管理人员的角色及其对应的权限,避免一权独揽,引起安全隐患;

  2)做好服务器机房的物理条件管理,避免电子泄露、避免由于静电等引起的故障;

  3)做好服务器管理员的帐号/口令管理,要求使用强口令,避免内部人员盗用;

  4)做好服务器的端口最小化管理,避免内部人员扫描得出服务器的不必要的开放端口及其漏洞,实行内部攻击;

  5)做好服务器系统软件、应用软件的日志管理和补丁管理工作,便于审计和避免由于安全漏洞而遭受到内部人员的攻击;

  6)根据业务和数据的机密等级需求,严格划分服务器的安全域,避免信息泄露。

 

【TechTarget中国原创】

本文由pc28.am发布于pc28.am,转载请注明出处:怎么着缓和开源Web设备中的安全故障,什么是W

上一篇:RAID工夫详解,主存款和储蓄器数据裁减六大措施 下一篇:没有了
猜你喜欢
热门排行
精彩图文