我們知道WEB服務器可以分為三層結構,而其中任何一層出現問題就可能會導致整個網站的安全受到威脅����。所以企業(yè)安全管理人員在部署WEB服務器安全策略是應當全面的構建企業(yè)Web安全防護網。才可以真正有效的做到web安全防護���。
構建企業(yè)Web安全防護一:每一層都可能存在安全漏洞
在這里筆者要告訴大家一個非常不幸的消息�����。在Web服務器的三層架構中�,任何一層都有或大或小的漏洞。在操作系統(tǒng)層面�����,無論采用Windows操作系統(tǒng)還是采用Linux操作系統(tǒng)��,都不時的會有黑客可以遠程利用的安全漏洞被發(fā)現��。相比之下���,Linux操作系統(tǒng)要比Windows操作系統(tǒng)安全一點����。而中間層����,如IIS、ASP�、SQLServer也不時的有“漏洞門”的問題。最上層的網頁程序��,漏洞更是不少��。如著名的SQL注入式攻擊漏洞就是出現在網頁程序層中����。
雖然現在有比較多的安全防護產品�,但是比較可惜的是�,他們往往都只是針對一個特定的層面?��;蛘哒f目前很多Web網站的防護技術并不過硬��。如不少企業(yè)在Web服務器外面都會部署一個防火墻�。但是因為針對Web服務器的攻擊���,很多是直接對應用層的漏洞發(fā)起的攻擊行為��,他們可以直接通過80端口來完成攻擊的行為����。在這種情況下�,即使采用了防火墻也無濟于事���。當任何一層被攻破����,那么其它兩層即使保護的再好,最后的結果都只有一個��,那就是失敗��。
總之��,Web服務器的每一層都存在著比較嚴重的漏洞����。如果要確保Web服務器的安全,那么必須要構建一個立體的防護網����。
構建企業(yè)Web安全防護二:利用IPS構建一個立體的Web防護網
IPS(入侵防御系統(tǒng))是一個集成入侵防御與檢測、病毒過濾�、帶寬管理和URL過濾等功能的一個綜合性的防御系統(tǒng)。對于Web服務器來說����,其基本上涵蓋了上中下三個層面的內容。為此借助IPS技術�,就可以為Web服務器構建一個立體的Web防護網。
眾所周知���,防火墻等設備�,其主要關注的是網絡層的基礎安全,而不會涉及到應用層���。而像SQL注入式攻擊等等基本上都發(fā)生在應用層�����。為此對于Web服務器的安全貢獻不是很大���。而IPS技術與防火墻不同,其可以深入到應用層面�����。IPS防御系統(tǒng)會檢測從報文頭到報文負載的每一個字節(jié)�����,將數據流流與攻擊特征字節(jié)進行對比���,從而有效的發(fā)現隱藏在正常數據流中的攻擊報文?���?梢娡ㄟ^IPS系統(tǒng)可以為Web服務器構建一個立體的防護網�。
IPS防御系統(tǒng)的理論知識大家可以去查看具體的書籍�,這不是筆者這里要重點討論的內容。筆者這里需要強調的是�����,在部署IPS系統(tǒng)時需要注意的內容��。
構建企業(yè)Web安全防護三:IPS選購時要選品牌�����、看技術實力
IPS與普通的安全產品不同�,其核心的內容就是技術。具體的說����,就是檢測引擎。雖然現在市面上提供IPS產品的廠商有很多�。但是根據筆者的了解,其效果是層次不齊�。有些IPS產品,雖然打著ISP旗號�����,但是基本上起不到IPS的功能。這主要是因為檢測引擎等核心技術����,各個廠商都非常的看重。有些技術實力稍微薄弱一點的企業(yè)���,就無法研發(fā)完善的檢測引擎�����。而由于缺乏這個核心的技術�����,則IPS功能就只成了一個擺設���。
為此企業(yè)在選購IPS防御系統(tǒng)的時候,主要需要關注的是廠商的技術實力�����。簡單的說��,就是需要選品牌的��。國內在這一塊做的不錯的�,主要有聯(lián)想與華為等幾家廠商。如聯(lián)想的檢測引擎�,會對網絡數據包進行收集和檢測分析,并能夠依據設定的安全策略對違反預設策略的事件實施阻斷或者限制的操作��。同時實時的向LEMSServer(相當于是一個日志服務器) 傳送報警信息和事件過程記錄�����。華為公司的IPS檢測系統(tǒng)�����,采用的是其自主研發(fā)的FIRST(基于精確狀態(tài)的全面檢測)檢測引擎�。這個檢測引擎集成了多項檢測技術,實現了基于精確狀態(tài)的全面檢測��。
筆者仔細研究過這兩家企業(yè)的IPS防御系統(tǒng)���。發(fā)現確實能夠對Web服務器的安全起到不可替代的作用����。而且兩家廠商的技術實力都比較雄厚,為此對于檢測引擎的升級也比較快�。能夠在最短的時間內,發(fā)現可疑的攻擊行為��。
構建企業(yè)Web安全防護四:IPS選購時需要關注其涉及的層面
在文章一開始�����,筆者就談到過�,Web服務器從上到下可以分為三層。如果任何一層出現漏洞���,那么都會給服務器帶來致命的打擊���。為此我們在選擇IPS防御系統(tǒng)的時候,也需要關注�����,其選擇的產品到底是否能夠對這個三個層面構成一個立體的防御體系�����。
如針對Web網頁程序的攻擊�,管理員需要評估產品是否會分析網頁程序ud每一個HTTP請求���,并根據常見的網頁漏洞原理對每個客戶端提交的HTTP請求進行攻擊特征匹配。如果發(fā)現有可疑的請求����,能夠自動將攻擊報文阻斷并報警���。
而對于中間層來說���,需要IPS防御系統(tǒng)能夠分析跟蹤Web服務器中間層組建的攻擊特點以及常見的漏洞,并在IPS系統(tǒng)中實現核心的防護措施���。如對于SQLServer數據庫服務器來說���,IPS系統(tǒng)需要根據已有的信息,來判斷SQLServer服務器是否存在可以被攻擊的漏洞等等���。
對于底層的操作系統(tǒng)來說�����,需要IPS系統(tǒng)能夠對其提供防護�����。如系統(tǒng)需要分析常見操作系統(tǒng)的每一個可以被遠程利用的漏洞���,分析漏洞的原因和利用這個漏洞發(fā)生攻擊的常見手段����。并從歷史的攻擊案例中分析出攻擊的特征��。然后將這個結果與現有的數據流進行匹配��,以判斷是否有可以的攻擊行為���。
在選型時��,安全技術人員需要評估IPS能否在以上三個層面提供足夠安全的技術保障����。如果不能股從技術層面進行測試的話���,那么至少要看看其是否通過了相關的國際認證�。如對于操作系統(tǒng)層的防火,可以考察其是否通過了微軟的MAPP認證�����。因為只要通過了這個認證���,那么廠商就可以提前獲得微軟的漏洞信息(在微軟正式發(fā)布漏洞聲明之前)�。對于安全防護來說�����,有時候時間就是生命�����。提早一步知道系統(tǒng)的漏洞�����,那么就可以在攻擊者發(fā)起攻擊之前就采取防護措施�����。
另外有些廠商提供的IPS防御系統(tǒng)�,其關注的內容并不是很全面。如只管住中間層和Web網頁程序層的內容�。他們認為操作系統(tǒng)層的安全可以有系統(tǒng)管理員來負責或者由微軟的Update服務來實現。雖然這也有一定的道理���,但是其會增加管理人員的工作量����。需要同時從多個平臺上來可以Web服務器的安全��。這不是很理想�。
構建企業(yè)Web安全防護五:根據Web服務器的規(guī)模來選擇不同規(guī)格的產品
Web服務器是一個很特殊的應用。其客戶多則有上億����,而少則可能只有幾百個(如一個B/S架構的OA應用)。這就對IPS的選型提出了一個額外的挑戰(zhàn)����。因為所有的通信都需要經過IPS系統(tǒng)的檢測。為此對于其性能肯定會造成一定程度的影響�。
當Web服務的并發(fā)性訪問數量比較高時,這個負面影響會非常的嚴重�����。此時對于IPS服務器就需要采用比較高的配置,以縮短檢測過程所占用的時間��。而對于規(guī)模比較小的應用�����,其流量本身就不是很大���,此時采用的配置可以底一點�。畢竟一分錢一分貨���。高配置與低配置在最后的結果上可能沒有多少的差異��,但是在性能上會相差很多。當然在價格上����,也是一個天上、一個地下�。
總之,在選擇IPS防御系統(tǒng)的時候�,要根據自己企業(yè)的Web規(guī)模來選擇合適的規(guī)格。此時主要是從IPS的吞吐量�����,即性能角度進行考慮。一個基本的原則�,就是盡可能的減少由于采用了IPS系統(tǒng)而給用戶帶來的負面影響。