目前,针对Web的攻击手段日益增多,拒绝服务攻击、网络钓鱼、SQL注入等等层出不穷,而企业门户网站是企业的“脸面”,如何保证其安全是运维人员、安全管理人员、CIO等需要深思熟虑的问题。本文将针对这个问题,首先对企业门户Web系统进行详细的安全威胁分析,然后给出相应解决方案的原则和技术,并根据原则来提供具体实施的网络拓扑和部署要点。
一、企业门户网站系统面临的威胁
企业门户网站系统在运行安全和数据安全方面面临着非常大的威胁,主要包括运行安全威胁和数据安全威胁。
(1)运行安全威胁
主要是指企业门户网站在提供对外服务的过程中,恶意用户(黑客)可以通过一些公开的服务端口、公开的服务信息等来组织和实施攻击,从而使得企业门户网站服务不可用,导致其运行安全问题。
主要的攻击行为包括:恶意用户采用黑客工具构造恶意报文对暴露在公网的网上系统进行拒绝服务攻击,甚至是利用多个网络结点形成的僵尸网络,构成分布式拒绝服务攻击;并且,面临在遭受攻击后,由于服务器侧网络架构划分和隔离措施不严谨,黑客可能利用这个部署上的漏洞,导致整个服务器机群的瘫痪,比如,由于Web服务器瘫痪,黑客以Web服务器为跳板,从而攻击后台数据库服务器等内网关键资源等。
(2)数据安全威胁
主要是指企业门户网站在服务中涉及的用户数据、通信数据等由于黑客的窃听、重定向等,导致的数据非法泄露。
主要的攻击行为包括:恶意用户通过Web浏览器的登陆界面对合法用户的用户名和密码进行猜测,从而冒充合法用户进行网页访问和系统使用;恶意用户通过构造非法的、可能被网上系统错误识别和执行的代码嵌入在提交的表单中,引起不正常的信息泄露,甚至系统崩溃;恶意用户可能在传输网络中通过非法窃取合法用户的通信报文,从而获得本不应该获得的敏感信息;用户被引导进入其他的非法网站,如现在流行的钓鱼网站(phishing)等等,从而在不知情的情况下泄露个人机密信息,造成经济损失等。
二、层次化防御方案
2.1 设计安全网络拓扑
设计安全的拓扑,是保证企业门户网站安全的第一步,它可以有效地从网络层和应用层来抵御外来的攻击,从而保证运行安全。
其中主要包括如下几个层面:
(1)网络层防御
部署防火墙可以有效地进行网络层防御,阻止外来攻击,包括拒绝服务攻击和分布式拒绝服务攻击,重点过滤恶意流量、突发流量等。更为重要的是:在防火墙上通过有效地使用DMZ(demilitarized zone,非军事化区),可以将外部网络和内部网络进行有效地隔离,从而达到即使DMZ区域被攻击,也不会影响到内网资源安全的目的。
在部署过程中,建议采用异构的二路防火墙方式。也就是,使用不同厂家不同型号的两种防火墙,分别来作为企业的内部和外部防火墙,这样,能够很好地达到分离内外网以及安全增强的目的,这样即使一路防火墙被攻击,也很难影响到二路防火墙,因为黑客需要更多地精力来对不同的防火墙进行分析和实施攻击行为。如下图所示的异构二路防火墙部署方式:
(2)应用层防御
在防火墙的后面,加入应用层防御的设备,如IPS(Intrusion Prevention System,入侵防御系统)、WAF(Web Application Firewall,Web应用防火墙)、UTM(Unified Threat Management,统一威胁管理)等,对来自外部企业门户的网站从应用层(包括URL链接、网页内容等)进行细粒度的过滤和检测,出现恶意内容等及时进行阻断。并且,对于SQL注入攻击、缓冲区溢出攻击、篡改网页、删除文件等也有很好的抑制和阻断作用。
(3)负载均衡
企业门户网站系统服务器侧需要具备负载均衡及负载保护机制。因为,系统面临着巨大的服务量,服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,避免处理瓶颈的出现,因此,需要采用合理的负载均衡和负载保护机制对各服务器的业务流量进行有效地分担,可按照Round Robin、LRU(Least Recently Used)等方式来进行负载均衡;另外,负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估,如果一旦超过设定的阈值(80%或者以上),将马上进行过载保护,从而保证服务器自身的安全。
通常,有2种实现方式。一种是购买成熟的硬件负载均衡产品,如F5等来对网站的流量进行控制和分流,以保证后台各服务器的流量均衡以及高可用,不过花费较高;一种是通过使用开源系统软件LVS(Linux Virtual Server,Linux虚拟服务器)、Nginx(Engine X)等负载均衡软件来构建应用,这样可以节约一定的资金。
在层次化防御保证企业门户网站安全(下)中,我们将继续介绍方案的其他部分,包括强化用户访问控制,加密通信数据,做好风险控制等。