【.com独家特稿】1. 网站现状与存在的问题分析
创新互联建站专注于企业成都营销网站建设、网站重做改版、白银区网站定制设计、自适应品牌网站建设、html5、购物商城网站建设、集团公司官网建设、成都外贸网站建设公司、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为白银区等各大城市提供网站开发制作服务。
不了解现状,不分析现状,不找到问题,就无从谈起方案整改,为此我们先分析下赵明的网站网络安全现状。
这个图是视频最后提供的一份网络拓扑,从这份拓扑上,我们可以了解如下信息:
1) 赵明负责维护的网站,主要提供web服务,并且有2台web应用服务器同时提供服务;
2) web服务器后台存在独立的数据库服务器
3) 互联网接入,首先连接的是负载均衡器,并由该设备采用负载均衡方式将流量分配到主、被web应用服务器,保证系统高效运行;
4) 整改网络上没有网络安全防护设备,没有对重要服务器进行独立保护。
从上述信息,我们可以分析得到所存在的主要安全技术问题如下::
1) 互联网接入边界,没有防护设备,互联网对应用服务器的访问不受任何访问控制与检测,容易遭受来自互联网的各种攻击,包括Dos/DDos、SQL注入等等;
2) 网络内部,没有将主/备应用服务器、数据库等进行独立保护,他们之间的网络互访没有任何限制;
3) 网络内部没有网络流量审计系统,对于来自互联网的访问,没有进行审计记录,无法追查任何恶意访问、攻击事件。
此外,我们在播放的赵明视频中,还可以很容易的发现所存在的管理问题:
1) 工作时间休息开小差——睡觉,即使有网络监控设备,也会因为没有技术人员的适当操作配合,而让入侵继续造成破坏;
2) 没有应急方案,发现入侵,只是愤慨,没有相应的应对操作流程。
2. 整改目标
针对上述存在的问题,我们可以很容易确定本次整改方案目标:
1) 提升整改网络、对外应用服务器的抗攻击能力;
2) 实现对攻击事件、访问事件的实时监控能力;
3) 通过合理的网站备份,能及时恢复受攻击的网站;
4) 制定安全管理、安全运维、应急操作管理制度和流程。
3. 整改方案说明
3.1. 网络拓扑
3.2. 方案说明
安全区域划分
如图示,划分为主应用服务器区、主数据库服务器区、备用服务器区、互联网接入区,安全区域划分后,可以很方便明确哪个区域容易遭受攻击,哪个区域需要重点保护等等,并且可以进一步在相应的区域间部署相应网络安全设备。
互联网防火墙部署
如图①所示,在互联网接入边界,部署作为基本防护措施的防火墙设备,实现端口级别的控制,降低到下一个设备的违规流量。
Web防火墙部署
如图②所示,部署web防火墙,实现对网站合法端口上的各种攻击防护,如SQL注入攻击、跨站攻击等等,并记录网站访问行为。
内网防火墙部署
如图③所示,部署内网区域隔离防火墙,对主应用服务器区、主数据库服务器区、备用服务器区之间的网络互访进行访问控制,隔离其他不需要的流量。
入侵检测系统部署
如图④所示,部署入侵检测系统,同时检测内网2个交换机的网络流量,对内部流量、互联网流量进行实时检测,及时发现透过web防火墙的入侵流量,并进行报警,必要时可以与互联网接入防火墙实现安全联动。
4. 方案效果说明
通过上述整改后的网络安全方案,至少可以实现如下效果:
1) 在互联网接入部分,同时部署有防火墙和web防火墙,可以各司其职的分别对网络端口、应用流量攻击进行检测和自动阻断,只要设备特别是web防火墙的特征码实时更新,基本可以防护所有的来自互联网的攻击。另外上述设备具备的日志功能,可以基本满足对攻击日志、日常访问日志的记录和审计使用;
2) 在内网,按照应用系统的安全级别、使用方式等进行安全区域划分,并通过内网防火墙实现区域间访问控制,进一步加强内部网络互访控制措施;
3) 在内网部署入侵检测系统,是作为web防火墙的补充和二次检测使用,建议此处使用与web防火墙不同品牌的入侵检测系统,使用不同的攻击代码特征库,实现互补措施,并且通过该设备,可以对网络内部、互联网流量情况进行报表分析,便于管理员实施了解网络访问状况。
其他方面,“三份技术,七分管理”,是经常提起的一句话,现状也说明赵明的运维确实存在安全管理问题,所以建议赵明完善网络安全运维制度、应急响应操作规范等制度规范,不要再工作时间睡觉,不要再发现入侵时无所事事。
【.COM 独家特稿,转载请注明出处及作者!】
当前标题:给赵明的网站安全整改方案
分享链接:http://www.gawzjz.com/qtweb/news9/184509.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联