Barracuda-NC双臂代理模式搞定网站安全(拯救赵明)

原创
安全 应用安全
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

【51CTO.com 独家特稿】目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2008年上半年我国国内网站被黑被篡改的统计图,在1月-7月内仅发现的被篡改的网站就多达41,000多个,平均每天就有近200个网站被篡改,这真是一个惊人的数字。  

下图是CNCERT/CC从2003-2007的被篡改网站的历史统计图:  

从上图的对比中我们看出,网站被篡改的数目以每年2-3倍的递增速度还在不断的上升趋势当中。在WEB应用如此普及,如此至关重要的今天,可以说,网站的防黑防篡改解决方案,已经是每一个企业或事业单位网络运维部门的迫在眉急的重大任务。

很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。

WEB应用防火墙的出现解决了这方面的难题,应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。

下面我们就用一款现在业内比较普遍的Barracuda-NC应用防火墙来举例,来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。

网络架构和部署:双臂代理模式

双臂代理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式,能够提供最佳的安全性能。

在此模式中,所有的数据端口都将被开启;端口eth1是对外的,直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接,是面向内部的。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。

以下为示例拓扑图:  

网络实现:

1、前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定

2、客户的连接将会在设备上终止,进行安全检查和过滤

3、合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备

4、负载均衡进行流量的负载

5、双臂代理模式可以开启所有的安全功能

工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势

对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升

预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击

实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失真。

网站全面隐身:黑客再神奇也无法攻击看不见的东西

Barracuda-NC应用防火墙对外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。  

同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门。

除此之外,做为一款强大的应用防火墙,Barracuda-NC应用防火墙还有许多应用交付功能:应用数据缓存,数据压缩,TCP连接池,SSL Offloading,7层内容交换负载均衡等等,完全可以替代其他应用层交换设备,做为应用层交换的中流砥柱。#p#

如何预防网站被黑?

预防网站被黑可以从两个方面来考虑:

利用外界软件,并注意常见的防病毒常识:

确信你的系统管理员跟上了最新的补丁(每个月一次是不够的),并且经常查看日志(一周一次也远远不够)。安全管理员必须知道各台机器都安装了什么软件,以便他们能够提防相关的漏洞和弱点。不要依靠任何唯一的IDS供应商,因为签名对第一防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施Tripwire(一个入侵检测系统),监视重要文件属性的改变。

最后,保持你的突发事件响应策略的实时性,以适应当前系统的要求。让大家知道在紧急状态下应该做什么,这样才能保证补救措施的顺利实行。

一、使用防病毒软件并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。

二、不允许网上的商家为了便于你以后购物储存你的信用卡资料。

三、使用由数字和字母混排而成、难以被破译的口令密码,并且经常更换。

四、对不同的网站和程序,要使用不同口令,以防止被黑客破译。

五、使用最新版本的万维网浏览器软件、电子邮件软件以及其他程序。

六、只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图示或钥匙形图标。

七、确认你要打交道的网站地址,留意你输入的地址,比如不要把ana-zon.com写成amozon.com。

八、使用有对cookie程序控制权的安全程序,cookie程序会把信息传送回网站。

九、如果你使用数字用户专线或是电缆调制解调器连接英特网,那就要安装防火墙软件,监视数据流动。
    十、不要打开电子邮件的附件,除非你知道信息的来源。

提高网站代码安全性:

被黑是正常的1 服务器设置(如果你是租用的那就不用考虑了)2程序问题 现在注入程序遍地是 你可以看看在网页中进行阻止 程序要严密 具体参考资料 你这个问题很大 细节不容易说!

下面给你说些基本的:

首先我要说的是,如果你是托管主机,你被黑,不是某某程序的错误,80%都应该是你自己的错误,是因为你自己的不当造成了不可挽回或者是巨大的损失。

下面我就谈下我在黑到别人站点的时候通常回怎么做。

1 首先,也是最重要的一点,就是我是如何上传webshell的(也就是大家说的后门木马吧),上传webshell其实有很多的办法。

一(SQL)对于sql数据库的用户来说,我们可以看看当先的连接用户是不是dbo权限,也就是sa了,如果是sa,并且sql服务器和web服务器是同一台服务器,那么如果你没有被黑.....(那就是我的错了)。

所以防止sql服务器被黑,第一是要更改连接用户的权限。(pub就可以了)

二(SQL)还是对与sql用户,你是否更改了远程连接的默认密码,要知道远程连接是有默认密码的,当我们用扫描器扫描的1433端口的时候,我们就可以判定你是SQL服务器,这个时候我们一般都会尝试远程登陆(50%)的人都没有修改过远程连接密码。

三(ACCESS)对于这类用户,我想基本上都不是托管主机,所以我也就不说了,就是说了出来你们也没办法去修正,你只能求天保佑你的主机商不是个鸟,后者黑你的人是个鸟了(碰上我兄弟X业X钱的那就没办法了)

上面都是针对服务器来说的(而且很不全面),下面我主要针对下大家关心的web来说下吧。

一、上传漏洞。这类漏洞可以说是致命伤,怎么说呢,你可以这样想,连microsoft这样的公司的程序都会一天到晚出漏洞,你们的某某某全站程序,某某某论坛,某某某BLOG又怎么不会出现问题呢?其实不是没有问题,而是有了问题,别人懒的去黑你罢了,谁叫你的全球排名---有都没有呢(再笑下^_^)。不过有的朋友确实不想被黑,那好吧,我可以告诉你如何解决。1 如果你想让别人上传,呵呵,我只能和你说,你只能让别人上传图片好了,至于其他的,你就开个FTP让他传吧。上传的图片可以用二进制的方式写入数据库,这样不管你的站有没有上传漏洞,我估计他就是死也搞不出webshell的。

二、数据库备份漏洞。不知道大家用过leadbbs没有,在几个月前,leadbbs是不允许备份数据库的,为什么,其实你们很多人都知道是安全原因,但是是什么安全原因估计就没几个人知道了,或者是知道的人不多。对于access数据库是不能象sql数据库那样备份的,而且我发现所谓的备份数据库好象就是压缩了以后在改个名字罢了,而且原始数据库的路径是由你(也就是管理员)来提交的,那么这下好了,我把你们不允许我上传的文件改个你让我上传的文件,在利用备份数据库的功能定义下我的文件路径,改个名字就可以了。(其实我说了出来大家都觉得不可思议了吧)。就这样你们的站内有了大大小小不同的后门木马了,而且还会出现在根目录等等其他的位置,让你们白思不得其解了。

那么如何解决这个问题呢,还是要从上传说起来,既然他可以改名字上传,那我就让他保存到数据库里面好了,呵呵,我们用二进制保存图片确实是一个良好而且不错的办法,希望大家可以自己去修改下。也希望广大的站长或者是程序员接受我这个不成熟,且低下的想法,(我知道肯定有某为大哥级人物看到这里早就嗤之以鼻了,所以下埋下伏笔)。

最后一点就是要告诉大家经常备份,我相信广大站长都有自己的电脑,那就麻烦下你的手脚,把站上的程序拷贝下来,如果真的被黑了,站上的程序就不要要了,直接用机器上的程序覆盖吧,这样才是最保险的。  

【编辑推荐】

  1. 构建安全服务器环境阻止网站黑客攻击
  2. 网站安全堪忧完善检测机制是出路
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-04-20 21:55:36

2010-05-31 14:31:51

2010-04-21 11:26:55

2010-06-12 11:49:03

2010-05-31 11:38:00

2010-06-12 15:24:33

2010-04-13 14:20:32

2010-06-12 09:27:40

2010-04-21 11:00:41

2010-04-22 11:53:15

2010-06-12 15:58:17

2010-05-25 21:56:00

2010-04-13 00:13:24

2010-05-26 09:52:58

2010-05-31 11:10:20

2010-05-31 12:13:23

2010-04-22 01:19:32

2010-06-22 16:34:31

2010-05-24 17:34:38

2010-04-21 10:26:35

点赞
收藏

51CTO技术栈公众号