[161期] 从检测到防护:全面打造网站安全

企业动态
一个网站,安全问题来自于多方面。如果只是保证了单一的任何一方面,都不可能保证绝对的安全。所以需要使用诸多的技术手段来保证网站的全面安全,比如最重要的就是进行预先的检测、过程中的防护以及事后的响应:前者可理解为如何找出网站的漏洞,而后两者则是发现漏洞后做出的安全防护和及时的响应。这也正是目前市场上出现众多WEB安全产品的原因。

一个网站,安全问题来自于多方面。如果只是保证了单一的任何一方面,都不可能保证绝对的安全。所以需要使用诸多的技术手段来保证网站的全面安全,比如最重要的就是进行预先的检测、过程中的防护以及事后的响应:前者可理解为如何找出网站的漏洞,而后两者则是发现漏洞后做出的安全防护和及时的响应。这也正是目前市场上出现众多WEB安全产品的原因。 

本期门诊就特邀启明星辰的两位技术专家,他们可以帮助大家解答网站安全诸多方面的问题,特别会将涵盖了检测、防护、响应的全方位网站安全保护的技术手段和大家一起进行深入交流和探讨。希望能够为大家在改善网站安全方面的工作提供参考,并采取相应的防范措施。

技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

[[11700]]

姓  名:孙  薇

擅长领域:网络安全、应用安全

北京启明星辰信息安全技术有限公司安全研究中心研究部部门经理。具有十三年的信息安全领域研究经验,承接多项攻关类研究项目,并负责公司在Web安全检测领域的平台开发、服务支持等相关工作。。

[[11701]]

姓  名:孙阳波

擅长领域:网络安全、应用安全、操作系统安全

北京启明星辰信息安全技术有限公司高级产品经理。加入启明星辰以来,先后担任过多条产品线的产品管理工作,针对网络安全、应用安全、操作系统安全等领域有着全面的了解,参与了多个信息安全项目的安全规划与解决方案设计。现任启明星辰入侵防御产品线产品经理,针对攻击防御、Web应用安全领域进行深入研究。

查看本期门诊精彩实录: http://doctor.51cto.com/develop-175.html 

参与最新技术门诊:http://doctor.51cto.com/

下面精选本期网友提问与专家解答,以供网友学习参考。

Q:曾经了解过一些网站的安全的东西。最近想想关于防火墙的东西。对于网站的安全来说,代码安全和系统安全是很重要的。代码安全就靠人为编写代码的安全。而系统安全的话,可能是FW,IPS,IDS的问题。目前的防火墙都是居于规则来控制的。想问问目前的FW有没有采用比价新的技术的啊?有没有比居于规则更好的?

A:您好!个人拙见,防火墙的技术应该包括:基于规则、基于状态、基于行为、基于应用,这几类层次。前两类技术大家都很熟悉,就是目前已经非常成熟的“基于规则的状态防火墙”技术。基于行为,就是基于网络攻击行为,例如碎片攻击、DoS/DDoS攻击、DNS攻击等等,这类功能实现包含了一些统计学及行为分析的技术。基于应用,就是应用层的防护,一般就是深度检测技术。防火墙功能向高层延伸是一个必然的趋势,例如UTM、IPS都是防火墙由网络层向高层协议延伸的产物。在启明星辰,天清汉马UTM、天清汉马FW、天清NIPS等产品,都在“基于规则的状态防火墙”技术的基础上,不同程度提供了基于行为、基于应用等更高层次的技术,以满足用户针对网络攻击、应用层防护、上网行为管理等方面的安全需求。

Q:网站安全都分哪些呢?全新搭建一个网站,需要注意哪些方面,之前几次搭建网站总是被人入侵,不知道怎么防御好,好像HK就是盯上我了似的,很痛苦。。谢谢专家慷慨解答呀。

A:网站安全工作总的来说主要从三个方面开展:P、D、R,即防护、检测和响应。

1. P。包括做好服务器本身的安全加固。选择一个口碑比较好的Web IPS,这种产品通常可以阻断掉SQL注入、XSS等攻击,即便后台的web程序存在这样的漏洞,也不会被黑客发现或利用。

2. D。网站上线前最好做一次全面的白盒测试,即对网站源代码做全面检测、加固。上线后,选择定期的黑盒检查服务。

3. R。选择好一个专业的安全服务团队,签署一个应急响应的协议,一旦出了问题,这些安全团队会及时远程或到现场解决问题,包括溯源、恢复、加固等。

对于全新搭建网站来说,特别要注意网站代码的安全,尽可能选择正规的网站开发团队,不轻易使用开源程序,注意对输入输出权限的控制。

Q:有几个问题需向两位请教!个人理解的“网站安全”,只要是影响到网站无法访问和访问速度慢的因素都应包含在网站安全范围之列。今天我想请教专家的问题也就是围绕个人的理解展开,如有跑题,请多多包含。

1、软件环境的安全,网站运行在软件环境之上,如apache和操作系统等,这些软件环境本身的安全漏洞或者被破坏如何应对?最近有消息说某个软件环境就有文件漏洞。

2、硬件环境的安全:设计到物理上的安全,如硬盘坏,服务器down机、网络线路问题等。如何保证硬件环境出现故障依然保证网站继续运行呢?

3、数据库环境的安全;动态网站都有数据库支持,这些数据库性能如何,并发处理能力如何,决定了网站运行的效率。有无方案,一旦数据库崩溃如何处理?

4、高突发访问、南北访问安全:又如何处理呢?

语言组织比较乱,文字水平不高,多多体谅。安全本身是个很广而且泛的东西,所以问的也比较的杂,哈哈难怪我语无伦次了。

A:问题1.软件环境安全,针对操作系统及发布程序漏洞,建议您做以下工作:

(1)及时打补丁,进行预防;

(2)对服务器和网络进行监控,及时发现问题;

(3)设定合理的访问权限和规则,阻止一部分0day或者其他漏洞的攻击生效;

(4)部署Web IPS或Web应用安全网关,面向操作系统及发布程序漏洞,阻断针对漏洞的扫描与探测行为,并实现Web入侵防御、虚拟补丁等防护职能。

问题2.硬件环境安全,首先建议熟悉常见硬件问题的排查处理方法、掌握软件问题的快速修复方法。然后,一方面可以建立服务器高可靠性工作模式,即搭建服务器主备工作状态或者服务器集群,在某台服务器出现硬件问题时迅速切换、不影响网站正常运行;另一方面也可以利用服务器虚拟化技术,不仅某台服务器在出现硬件问题时不会影响网站正常运行,同时在出现软件问题时也能实现迅速切换及网站的重新发布。

问题3.数据库环境的安全,防止数据库崩溃,需要在代码设计、数据库设计、服务器选型、扩容性角度时充分估算到未来可能遇到的查询、入库峰值流量,中大型网站最好选择商用数据库,并在代码层面进行优化,如网站分层分别进行封装等。防止数据库崩溃后带来的损失,最好的办法就是勤备份,或者是部署数据容灾备份系统。在网站系统中,数据库的性能和服务器操作系统、Web应用系统、数据库设计等几方面息息相关。因此,不建议单独只站在数据库品牌、软件版本角度去独立评价数据库在真实应用中的性能。

问题4.高突发访问:在问题3中已经有回答。还可以考虑服务器集群、服务器虚拟化、负载均衡等手段。有时有的高突发访问不一定代表是正常的网站访问行为,如DDoS攻击,可以考虑部署UTM/FW/IPS等安全产品进行防御。

问题5.南北访问安全:主要需要解决原电信、网通线路的访问速度问题。这块我的见解并不是很深、不能给出更多建议,建议可以采取的技术手段有:智能DNS、链路转换、带宽保证、设备冗余等。

Q:刚好有点时间,再请教下,现在都讲一体化,一体化打印复印传真机,utm也是一个一体化的东西,i服务t管理一体化解决方案。专家建议在启明设备和其他供应商的基础上给个“网站安全”的一体化的解决方案。当然是个可以用的,不是销售员给的那种方案。最好是“鹦鹉教程”一般。

A:网站安全,是个系统化工程,包含事前、事中、事后整个过程。每个过程都需要部署相关安全产品、或者是从安全管理角度进行加强。启明星辰提供的《网站安全解决方案》主要是基于网站安全评估、入侵防护的角度给出了建议。

在启明星辰提供的《网站安全解决方案》基础上,如果您有更高级别的网站建设要求,建议还可以在网站安全评估、入侵防护的基础上,采取以下手段或措施:

1.专业的网页防篡改产品:通过系统级的目录文件修改看护进程监控网站是否被篡改,或者通过文件安全保护功能,对主目录文件进行锁定,只允许网站发布系统才可以修改文件。这种网页防篡改技术是基于事前的,不同于传统的网页防篡改产品,可以与Web入侵防御系统构成双重防线。

2.数据容灾备份系统:面向业务连续性。目前绝大多数网站是以动态网页为主的,其服务器承载了大量的数据库数据、文件数据,部署数据容灾备份系统,可以通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。能够有效防范由于管理员在本地误操作、服务器物理损坏、或者其它方式造成的数据文件删除、丢失等情况造成的损失。

3.数据库审计产品:面向合规管理,针对所有对数据库进行的操作进行记录,这些行为通常是不包含攻击特征的,对数据库修改行为追踪、溯源,启明星辰有专门的数据库审计产品。

4.专业的负载均衡设备:面向应用交付,优化针对服务器的访问质量、提升可交付能力,这对于很多大型网站来讲很关键。

5.严格安全管理制度,规范网页代码质量,对操作系统及网站发布程序的漏洞及脆弱点进行修补。

Q:1、我目前手里有贵公司的产品,是通过别的软件公司买来的,这个软件公司破产了!现在想投入使用,请问怎么处理?这个问题务必回答,我可是你们的客户!

2、我们是路由器——防火墙——三层交换——内网/外网。贵公司的产品放在哪个环节

3、贵公司的产品特色在哪?

A:您好!关于问题1:启明星辰在每个省会城市都设有办事处,您可以和您所在省区的办事处直接联系,您可以拨打启明星辰服务热线:800-810-6038,咨询办事处的联系方式。

关于问题2:启明星辰公司拥有针对网络边界至服务器、终端PC全系列的安全产品,在贵单位已部署防火墙并不改变当前网络拓扑的前提下,您可以在防火墙和交换机之间部署天清网络IPS,针对来自外网的4~7层入侵攻击进行防御,同时也可起到网络防病毒、P2P及IM管理等作用;您可以在服务器前部署天清服务器IPS,针对所有服务器攻击尤其是Web攻击进行防御;您可以在内网部署天珣终端安全管理产品,避免来自内部的病毒、木马、疑似攻击与未知病毒的侵袭并确保专机专用、减少核心信息资产失窃的可能;您也可以在交换机处旁路部署天玥网络安全审计系统,针对业务环境下的网络操作行为进行合规操作审计。

关于问题3:启明星辰公司每款产品都有其独有特色,总体归纳如下:

1. 天清汉马一体化安全网关:“简单”为核心的UTM,设计一体化、防御一体化、管理一体化;

2. 天阗入侵检测系统:采用基于原理及特征相结合的检测机制,保障检测精度。规范的后继服务支撑体系,确保对新型事件的快速准确响应;

3. 天清入侵防御系统WIPS:采用基于原理及特征相结合的检测机制,优秀的SQL注入、跨站脚本等Web攻击行为的检测和防御能力;

4. 天清入侵防御系统NIPS:除了基础的IPS功能外,还具有网络病毒检测及多种路由功能,更加迎合网络边界部署的IPS需求;

5. 天玥网络安全审计系统:最广泛数据库协议支持,数据库语句语义解析、高速事件入库、多层关联分析;

6. 安星:专业支持团队的外援保障,解决及时响应问题。

7. 天珣终端安全管理系统:最全面的准入控制功能,基于企业级主机防火墙的终端安全管理。

Q:专家,你好!在此我想问的是,一般在一个网络边缘都要放置防火墙等设备.它跟一些接入网设备里的SNMP,及ACL有什么区别?一直以来,感安这一块东西基于路由部分要多一些,而个人现阶段正在对交换路由相关产品有些熟悉.安全主要就是防护接入网,园区网,还是IDC网要多一些?

A:问题1:防火墙与接入网设备中ACL的区别:我觉得主要有以下几个区别:

前者基于状态检测包过滤并可进行应用层深度检测,后者基于包过滤即简单的访问控制规则、只对网络层数据做处理;

前者是专门的硬件访问控制设备、有专门优化防火墙功能的硬件、软件也为包过滤做了优化、整机所有计算资源专门为访问控制功能服务、能够达到高性能,后者则是接入网设备中的功能模块、开启后会影响到设备正常的路由、转发性能,尤其是访问控制规则的增加对设备的性能影响最为明显;

前者可以防御更多攻击,如DDoS等,而后者只能做基础的访问控制;

前者可支持多种告警方式、丰富的事件查询方式帮助管理员了解安全状况、可指定复杂的安全规则,而后者在此方面的功能是弱化的,也不易读懂。

问题2:

不论是接入网、园区网、IDC网或者是其它网络,都有安全防护需求,只是针对不同的网络、因其承载性质的不同,都有不同针对性的解决方案。例如:接入网会更加关注来自外部的威胁、会侧重网络边界安全设备的部署,如FW、UTM、IPS、IDS、上网行为管理等;园区网除了在网络边界处做安全防护外,更加关注来自内部的威胁、更加关注对内部人员的要求,会侧重部署一些增强内控合规管理的产品,如终端安全管理系统、业务及数据库审计系统等;IDC网则更加关注网站主机的防护,会侧重进行网站安全评估,部署网站主机入侵防护、网站主机运维审计、网站容灾备份、负载均衡等产品,同时也会从物理角度加强主机机房的安全。

Q:网站备份  网站机房维护应该注意是么呢?

A:1.关于网站备份:网站备份最应该注意的就是“定期”,所谓“定期”就是按时,具体的备份间隔可以根据网站自身的情况而定,如果是更新较快的网站,建议1天做1次备份,最简单的方法就是将网站文件夹整体备份,可以选择按日期归类或者每天对前一天的文件夹文件进行覆盖,此种备份方法能够对页面文件及附件文件进行备份,但不能对数据库进行备份,如果对数据库进行备份,则还需要网站自身能够支持数据文件的导出,如Discuz论坛。还有一种方法,就是部署容灾备份系统,通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

2.网站机房维护:要熟悉常见硬件问题的排查处理方法、掌握软件问题的快速修复方法,同时针对管理员针对服务器的日常运维行为,需要部署安全审计系统对管理员的操作进行审计,面向合规、针对误操作、恶意操作等行为进行追踪溯源。当然,网站机房还需要制订严格的规章制度与管理措施,例如:严格的机房进入措施、严格的用户权限设置、严格的管理员身份认证手段、定期的管理维护等。

Q:请问下关于CSRF和GIFAR攻击和WEB蠕虫和富文本攻击如何进行手动测试?和对应的防护方法。

A:1.CSRF

测试:构建一个实际环境,例如网站A、网页B(包含网站A URL地址的html页面即可),用户登录网站A、接着访问网页B,验证同时是否自动又访问了网站A。

防御:个人用户则需要养成良好的习惯,比如登录银行、重要业务系统等敏感Web系统时不要同时登录其它网站、网页,退出敏感Web系统时一定要注销,不要使用浏览器的用户名/密码记录功能。从开发角度,企业进行Web业务系统、网站设计时,最好加入验证码、token等判断因素,尽可能使用Post而不是Get。

2.GIFAR

制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现,Sun在08年也发布过补丁。

3.Web蠕虫

测试:编写及测试方法网上已有很多介绍,你可以参考。

防御:Web蠕虫大多数是利用XSS漏洞,而CSRF攻击结合Javascript劫持技术完全可以制作自动传播的Web蠕虫,后者比前者更具威胁性。从开发角度,企业进行Web业务系统、网站设计时,一定要从Web应用开发的角度来避免,规范代码质量、提高安全性,降低后期被植入可能。

4.富文本攻击

测试:例如利用XSS漏洞,让不支持富文本的区域进行了富文本的执行,测试方法在网上已有很多介绍,你可以参考。

防御:从开发角度,企业进行Web业务系统、网站设计时,一定要从Web应用开发的角度来避免,如对所有用户提交内容进行可靠的输入验证,实现Session标记、CAPTCHA系统或者HTTP引用头检查,确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag,去掉任何对远程内容的引用,使用HTTP only的cookie等。当然以上方法,人与系统间的交互被降到极致,仅适用于信息发布型站点。  

其实,以上各种针对网站的应用层攻击,有访问恶意网站造成的,但绝大部分来源于合法网站存在漏洞,如SQL注入、XSS漏洞等,被人利用后针对网页内容进行了修改、植入,这是根源问题。一旦访问者访问了以上被修改的合法网站,就会遇到麻烦。然而大多数中小网站的所有者,由于缺乏足够的专业知识储备,无法建立一个Web程序的安全检查机制,因此会对网站安全的实际情况浑然不知。同时,Web应用程序在开发之初如果不注意代码的规范,在Web应用程序开发完成后再进行漏洞修补耗费的工作量也是巨大的,同时也可能降低Web系统的人与系统交互的灵活性。因此,启明星辰建议用户一方面建立一套有效的专业性检查机制,及时掌握Web网页的安全状况;另一方面部署Web入侵防御系统,完善Web业务的防护功能,重点防御主流的Web应用攻击如SQL注入和XSS攻击,堵住合法网站网页被篡改、植入的漏洞;最后一方面通过网页安全修复服务,对远程网站安全检查服务发现的网站安全问题进行及时补救,防患与未然。总之还是一句话:Web安全防御,要从根源做起。

查看更多精彩门诊:http://doctor.51cto.com/

责任编辑:佚名 来源: 51CTO
相关推荐

2010-03-08 16:34:02

2015-09-18 13:03:21

2010-02-24 17:01:49

2009-04-06 22:29:30

2019-05-16 14:33:35

Windows 10游戏安全违规

2023-11-13 08:55:41

2016-03-10 13:49:00

2022-03-22 18:00:54

微软安全Azure

2015-05-12 16:02:32

2010-09-30 10:53:39

2012-10-19 14:12:34

2010-09-29 17:12:30

2010-03-10 14:48:24

2011-07-15 14:21:23

2010-05-31 11:38:00

2009-03-26 13:59:43

2012-04-26 09:27:11

2019-04-10 09:05:19

2012-08-03 10:13:53

2009-06-20 10:20:26

点赞
收藏

51CTO技术栈公众号