Barracuda-NC双臂代理模式搞定网站安全- 港临工作室- lanv - 和讯博客
Barracuda-NC双臂代理模式搞定网站安全 [原创 2010-04-27 11:53:42]   
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,xx管理员密码,数据库注入和破坏整 个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2008年上半年我国国内网站被黑被篡改的统计图,在1月-7月内仅发现的 被篡改的网站就多达41,000多个,平均每天就有近200个网站被篡改,这真是一个惊人的数字。  

下图是CNCERT/CC从2003-2007的被篡改网站的历史统计图:  

从上图的对比中我们看出,网站被篡改的数目以每年2-3倍的递增速度还在不断的上升趋势当中。在WEB应用如此普及,如此至关重要的今天,可以说, 网站的防黑防篡改解决方案,已经是每一个企业或事业单位网络运维部门的迫在眉急的重大任务。

很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护 WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火 墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接 入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻 击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应 用层攻击,IDS和IPS同样不能有效的防护。

WEB应用防火墙的出现解决了这方面的难题,应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源 免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理 成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。

下面我们就用一款现在业内比较普遍的Barracuda-NC应用防火墙来举例,来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。

网络架构和部署:双臂代理模式

双臂代理模式是Web应用防火墙部署种的{zj0}模式。这个模式也是拓扑过程中推荐的模式,能够提供{zj0}的安全性能。

在此模式中,所有的数据端口都将被开启;端口eth1是对外的,直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接,是面向 内部的。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。

以下为示例拓扑图:  

网络实现:

1、前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定

2、客户的连接将会在设备上终止,进行安全检查和过滤

3、合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备

4、负载均衡进行流量的负载

5、双臂代理模式可以开启所有的安全功能

工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势

对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升

预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击

实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失 真。

网站全面隐身:黑客再神奇也无法攻击看不见的东西

Barracuda-NC应用防火墙对外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、 已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过 Barracuda-NC应用防火墙隐藏的网站的结果。  

同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门。

除此之外,做为一款强大的应用防火墙,Barracuda-NC应用防火墙还有许多应用交付功能:应用数据缓存,数据压缩,TCP连接池,SSL Offloading,7层内容交换负载均衡等等,xx可以替代其他应用层交换设备,做为应用层交换的中流砥柱。

如何预防网站被黑?

预防网站被黑可以从两个方面来考虑:

利用外界软件,并注意常见的防病毒常识:

确信你的系统管理员跟上了{zx1}的补丁(每个月一次是不够的),并且经常查看日志(一周一次也远远不够)。安全管理员必须知道各台机器都安装了什么软 件,以便他们能够提防相关的漏洞和弱点。不要依靠任何{wy}的IDS供应商,因为签名对{dy}防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施 Tripwire(一个入侵检测系统),监视重要文件属性的改变。

{zh1},保持你的突发事件响应策略的实时性,以适应当前系统的要求。让大家知道在紧急状态下应该做什么,这样才能保证补救措施的顺利实行。

一、使用防病毒软件并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。

二、不允许网上的商家为了便于你以后购物储存你的信用卡资料。

三、使用由数字和字母混排而成、难以被破译的口令密码,并且经常更换。

四、对不同的网站和程序,要使用不同口令,以防止被黑客破译。

五、使用{zx1}版本的万维网浏览器软件、电子邮件软件以及其他程序。

六、只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图示或钥匙形图标。

七、确认你要打交道的网站地址,留意你输入的地址,比如不要把ana-zon.com写成amozon.com。

八、使用有对cookie程序控制权的安全程序,cookie程序会把信息传送回网站。

九、如果你使用数字用户专线或是电缆调制解调器连接英特网,那就要安装防火墙软件,监视数据流动。
十、不要打开电子邮件的附件,除非你知道 信息的来源。

提高网站代码安全性:

被黑是正常的1 服务器设置(如果你是租用的那就不用考虑了)2程序问题 现在注入程序遍地是 你可以看看在网页中进行阻止 程序要严密 具体参考资料 你这个问题很大 细节不容易说!

下面给你说些基本的:

首先我要说的是,如果你是托管主机,你被黑,不是某某程序的错误,80%都应该是你自己的错误,是因为你自己的不当造成了不可挽回或者是巨大的损 失。

下面我就谈下我在黑到别人站点的时候通常回怎么做。

1 首先,也是最重要的一点,就是我是如何上传webshell的(也就是大家说的后门木马吧),上传webshell其实有很多的办法。

一(SQL)对于sql数据库的用户来说,我们可以看看当先的连接用户是不是dbo权限,也就是sa了,如果是sa,并且sql服务器和web服务 器是同一台服务器,那么如果你没有被黑.....(那就是我的错了)。

所以防止sql服务器被黑,{dy}是要更改连接用户的权限。(pub就可以了)

二(SQL)还是对与sql用户,你是否更改了远程连接的默认密码,要知道远程连接是有默认密码的,当我们用扫描器扫描的1433端口的时候,我们 就可以判定你是SQL服务器,这个时候我们一般都会尝试远程登陆(50%)的人都没有修改过远程连接密码。

三(ACCESS)对于这类用户,我想基本上都不是托管主机,所以我也就不说了,就是说了出来你们也没办法去修正,你只能求天保佑你的主机商不是个 鸟,后者黑你的人是个鸟了(碰上我兄弟X业X钱的那就没办法了)

上面都是针对服务器来说的(而且很不全面),下面我主要针对下大家关心的web来说下吧。

一、上传漏洞。这类漏洞可以说是致命伤,怎么说呢,你可以这样想,连microsoft这样的公司的程序都会{yt}到晚出漏洞,你们的某某某全站程 序,某某某论坛,某某某BLOG又怎么不会出现问题呢?其实不是没有问题,而是有了问题,别人懒的去黑你罢了,谁叫你的全球排名---有都没有呢(再笑下 ^_^)。不过有的朋友确实不想被黑,那好吧,我可以告诉你如何解决。1 如果你想让别人上传,呵呵,我只能和你说,你只能让别人上传图片好了,至于其他的,你就开个FTP让他传吧。上传的图片可以用二进制的方式写入数据库,这 样不管你的站有没有上传漏洞,我估计他就是死也搞不出webshell的。

二、数据库备份漏洞。不知道大家用过leadbbs没有,在几个月前,leadbbs是不允许备份数据库的,为什么,其实你们很多人都知道是安全原 因,但是是什么安全原因估计就没几个人知道了,或者是知道的人不多。对于access数据库是不能象sql数据库那样备份的,而且我发现所谓的备份数据库 好象就是压缩了以后在改个名字罢了,而且原始数据库的路径是由你(也就是管理员)来提交的,那么这下好了,我把你们不允许我上传的文件改个你让我上传的文 件,在利用备份数据库的功能定义下我的文件路径,改个名字就可以了。(其实我说了出来大家都觉得不可思议了吧)。就这样你们的站内有了大大小小不同的后门 木马了,而且还会出现在根目录等等其他的位置,让你们白思不得其解了。

那么如何解决这个问题呢,还是要从上传说起来,既然他可以改名字上传,那我就让他保存到数据库里面好了,呵呵,我们用二进制保存图片确实是一个良好 而且不错的办法,希望大家可以自己去修改下。也希望广大的站长或者是程序员接受我这个不成熟,且低下的想法,(我知道肯定有某为大哥级人物看到这里早就嗤 之以鼻了,所以下埋下伏笔)。

{zh1}一点就是要告诉大家经常备份,我相信广大站长都有自己的电脑,那就麻烦下你的手脚,把站上的程序拷贝下来,如果真的被黑了,站上的程序就不要要 了,直接用机器上的程序覆盖吧,这样才是最保险的。 


我最近在玩和讯财经微博,很方便,很实用。
一句话,一张图,随时随地与我分享理财心得与亲历见闻。
点击以下链接xx,来和我一起玩吧!

郑重声明:资讯 【Barracuda-NC双臂代理模式搞定网站安全- 港临工作室- lanv - 和讯博客】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——