【51CTO.com獨家特稿】古人之言，不知道趙明可知否？中國古代的大軍事家孫子早在幾千年前就在《孫子兵法》里指出：“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼不知己，每戰(zhàn)必敗。” 從看到這個活動時，我就替趙明想了下面這些問題，如果并不清楚黑客是如何找到我們的，如果也不知道黑客是如何進(jìn)來的，即使我們拿一些安全設(shè)備將自己偽裝起來，依然可能被黑客再次扒了衣服，透明的外衣加上裸奔，滋味一定不好受。  

部署數(shù)據(jù)泄漏防護(hù)，減少黑客“踩點”途徑

踩點（Footprinting），這是收集目標(biāo)信息的奇技淫巧。舉例來說，當(dāng)盜賊決定搶劫一家銀行時，他們不會大搖大擺地走進(jìn)去直接要錢（至少明智的賊不會）。相反，他們會狠下一番苦功夫收集關(guān)于這家銀行的相關(guān)信息，包括武裝押運車的路線和運送時間、攝像頭位置和攝像范圍、出納員人數(shù)、逃跑出口以及其他任何有助于行事的信息。同樣的需要也適用于趙明的對手。他們必須收集大量的信息，以便集中火力進(jìn)行外科手術(shù)式攻擊（這種攻擊可不會輕易被捉?。Ｒ虼?，攻擊者將盡可能多地收集一個單位安全情況的方方面面。最后，黑客就得到了獨特的足跡（Footprint），也就是說黑客同樣也能得到51CTO網(wǎng)站上提供的結(jié)構(gòu)圖。  

如果把收集情報比作大海撈針的話，那么踩點活動要撈的“針”都有哪些呢？ 

◆公司的Web網(wǎng)頁 

◆相關(guān)組織 

◆地理位置細(xì)節(jié) 

◆電話號碼、聯(lián)系人名單、電子郵件地址、詳細(xì)的個人資料 

◆近期重大事件（合并、收購、裁員、快速增長等等） 

◆可以表明現(xiàn)有信息安防機(jī)制的隱私/安防策略和技術(shù)細(xì)節(jié) 

◆已歸檔的信息 

◆心懷不滿的員工 

◆搜索引擎、Usenet和個人簡歷 

◆讓人感興趣的其他信息

我們舉一個例子來說，聯(lián)系人名單和電子郵件地址也是非常有用的情報。大多數(shù)組織都會使用其員工姓名的某種變體作為他們的用戶名和電子郵件地址（比如說，趙明的用戶名往往會是“zhaoming”、“zhaom”或“zm”，而他的電子郵件地址則往往會是zhaoming@company.com或類似的東西）。如果能夠設(shè)法弄到某個組織里的一個用戶名或電子郵件地址，我們就可以相當(dāng)準(zhǔn)確地把很多用戶的用戶名和電子郵件地址推測出來。在我們稍后嘗試獲得系統(tǒng)資源的訪問權(quán)限時，一個合法的用戶名將非常有用，這很有可能造成網(wǎng)站管理賬戶的密碼被“暴力破解”！

那么如何防止運維人員和公司內(nèi)部普通用戶將私有信息泄露出去，成為黑客踩點階段的美餐呢？我們希望趙明通過一定的技術(shù)或管理手段，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或意外流出。那么在管理上，趙明可以借鑒更多的教育手段來提升普通用戶將信息丟到外網(wǎng)上去，而技術(shù)手段上則需要“數(shù)據(jù)泄漏防護(hù)”(Data leakage prevention, DLP)，產(chǎn)品的支撐。

通過趙明公司網(wǎng)絡(luò)和應(yīng)用結(jié)構(gòu)圖的分析，我們可以發(fā)現(xiàn)，這些敏感數(shù)據(jù)通常存放在文件服務(wù)器上，普通的用戶通過自己的終端進(jìn)行訪問。而用戶周邊的打印機(jī)、可移動存儲設(shè)備、攝像頭、調(diào)制解調(diào)器和無線網(wǎng)絡(luò)也是潛在的本地數(shù)據(jù)泄漏源，趙明可以通過在用戶的終端上部署基于主機(jī)的數(shù)據(jù)泄漏防御方案來進(jìn)行控制。而終端用戶和Internet進(jìn)行的通訊，尤其是最常見的E-mail、FTP、HTTP和即時通訊也是常見的網(wǎng)絡(luò)數(shù)據(jù)泄漏源，在這種場合就需要在內(nèi)部網(wǎng)絡(luò)和Internet連接的出口處部署基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案進(jìn)行控制。#p#

部署傳統(tǒng)防火墻，防范數(shù)據(jù)庫暴露

如果說踩點相當(dāng)于尋找并偵察情報中心的話，掃描就是在逐寸敲打墻壁以期找出所有門窗了。黑客通過踩點獲得了很多有價值的信息，包括員工們的姓名和電話號碼、IP地址范圍、DNS服務(wù)器、Web服務(wù)器、論壇的賬戶信息、通過員工個人文檔以及郵件內(nèi)容獲得的種種信息。他們將利用各種工具和技巧——比如ping掃描、端口掃描以及各種自動發(fā)現(xiàn)工具——去確定在目標(biāo)網(wǎng)絡(luò)里都有哪些系統(tǒng)正在監(jiān)聽外來的網(wǎng)絡(luò)通信（或者說是真實存在的），以及都有哪些系統(tǒng)可以從因特網(wǎng)直接進(jìn)行訪問。

從基于Web主機(jī)的角度，各種服務(wù)器自身內(nèi)置的實用工具都可以監(jiān)測到ping或者掃描活動并把它們記載到日志文件里去。如果你們在查看有關(guān)日志時發(fā)現(xiàn)來自某個系統(tǒng)或網(wǎng)絡(luò)的ICMP ECHO數(shù)據(jù)包是某種可疑的模式，那可能代表著有人正在對你們的站點進(jìn)行網(wǎng)絡(luò)偵察。希望趙明要密切留意這類活動，它往往預(yù)示著一次全面的攻擊已迫在眉睫。另外，有許多種商業(yè)化的網(wǎng)絡(luò)和桌面防火墻工具（Cisco、Check Point、Microsoft、McAfee、Symantec和ISS等公司都能提供）可以監(jiān)測到ICMP、TCP和UDP ping掃描活動。

但存在可以監(jiān)測ping掃描活動的技術(shù)，并不意味著有人在密切監(jiān)測著這類活動。所以最好的方式是在Web主機(jī)前部屬防火墻，以防止這種掃描接觸到真實的主機(jī)。包過濾技術(shù)（Packet Filter）是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制與操作。包過濾操作通常在選擇路由的同時對數(shù)據(jù)包進(jìn)行過濾。用戶可以設(shè)定一系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被丟棄。那么這些規(guī)則就是以IP包信息為基礎(chǔ)，對IP包的源地址、 IP包的目的地址、封裝協(xié)議（TCP／UDP／ICMP／IP Tunnel）、端口號等進(jìn)行篩選。包過濾類型的防火墻要遵循的一條基本原則就是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

另外一種常見的掃描時“端口掃描”，黑客是主動連接到目標(biāo)系統(tǒng)的TCP和UDP端口以確定在目標(biāo)系統(tǒng)上都有哪些服務(wù)正在運行或處于LISTENING（監(jiān)聽）狀態(tài)的過程。確定有哪些端口正處于監(jiān)聽狀態(tài)是一個非常重要的攻擊步驟，攻擊者不僅可以了解到遠(yuǎn)程系統(tǒng)上都運行著哪些服務(wù)，還可以準(zhǔn)確地探測出目標(biāo)系統(tǒng)所使用的操作系統(tǒng)和應(yīng)用程序的類型和版本。處于監(jiān)聽狀態(tài)的活躍服務(wù)就像是你家的大門和窗戶——它們都是外人進(jìn)入你私人領(lǐng)地的通道。根據(jù)其具體類型（是“窗戶”還是“大門”），這些通道有的會讓非授權(quán)用戶侵入各種配置不當(dāng)?shù)南到y(tǒng)。當(dāng)然我們也可以利用防火墻防止TCP SYN “半開掃描”（half-open scanning）、FIN掃描、第三方掃描（“代理”或“肉雞”掃描）等等。

綜上所述，你可能以為我要部署一臺防火墻在Web服務(wù)器前面，當(dāng)然了，不過不要急，我們還要對數(shù)據(jù)庫進(jìn)行防護(hù)呢？這就是內(nèi)網(wǎng)重新調(diào)整成為兩個區(qū)域：一個是辦公區(qū)域，將文件服務(wù)器和客戶端放在里面，另一個是數(shù)據(jù)區(qū)，將兩臺數(shù)據(jù)庫放在防火墻的后面，如下圖所示： 

 當(dāng)外部攻擊穿過外層防護(hù)機(jī)制進(jìn)入應(yīng)用服務(wù)區(qū)后，進(jìn)一步的侵入受到應(yīng)用層和核心層防護(hù)機(jī)制的制約。由于外層防護(hù)機(jī)制已經(jīng)檢測到入侵，并及時通知了管理員，當(dāng)黑客再次試圖進(jìn)入應(yīng)用區(qū)時，管理員可以監(jiān)控到黑客的行為，收集相關(guān)證據(jù)，并隨時切斷黑客的攻擊路徑，對于SQL服務(wù)器的保護(hù)機(jī)制是最完善的。

背對背防火墻(Back to Back Firewall )是一般大型企業(yè)所采用的架構(gòu)，運用兩段防火墻分隔出內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)、外部網(wǎng)絡(luò)。所分隔出的DMZ區(qū)專門放置對外提供服務(wù)的服務(wù)器，利用不同的網(wǎng)段與內(nèi)部防火墻，將內(nèi)部使用的服務(wù)器分隔開，大大降低對外服務(wù)器如Web、SMTP Relay服務(wù)器被攻破后，對內(nèi)部網(wǎng)絡(luò)產(chǎn)生的危害。#p#

部署Web防火墻，在應(yīng)用層做到深度檢測

然而，傳統(tǒng)的防火墻無法偵測很多應(yīng)用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中（HTTP訪問），它仍然能通過防火墻到達(dá)應(yīng)用服務(wù)器；同樣，如果某個攻擊進(jìn)行了加密或編碼該防火墻也不能檢測。

針對傳統(tǒng)防火墻的弊端，Web 應(yīng)用防火墻逐漸在中小企業(yè)和Web服務(wù)托管環(huán)境中廣泛應(yīng)用，它包括兩個關(guān)鍵功能：即對HTTP/HTTPS 協(xié)議的實時監(jiān)測，HTTP往返流量都能夠?qū)ζ湫袨闋顟B(tài)進(jìn)行判斷，在攻擊到達(dá)Web 服務(wù)器之前進(jìn)行阻斷，防止惡意的請求或內(nèi)置非法程序的請求訪問目標(biāo)應(yīng)用。

另外，我建議趙明選擇更先進(jìn)的Web防火墻，例如攜帶網(wǎng)頁防篡模塊，這可以 通過內(nèi)置自學(xué)習(xí)功能獲取WEB 站點的頁面信息，對整個站點進(jìn)行“爬行”，爬行后根據(jù)設(shè)置的文件類型（如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip 等類型）進(jìn)行緩存，并生成唯一的數(shù)字水印，然后進(jìn)入保護(hù)模式提供防篡改保護(hù)，當(dāng)客戶端請求頁面與WAF 自學(xué)習(xí)保護(hù)的頁面進(jìn)行比較，如檢測到網(wǎng)頁被篡改，第一時間對管理員進(jìn)行實時告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。當(dāng)然，事后可對原始文件及篡改后的文件進(jìn)行本地下載比較，查看篡改記錄，這對于趙明來說，就是在現(xiàn)在的網(wǎng)站結(jié)構(gòu)中安插一個24小時的哨兵。

提示：在配置Web防火墻時，配置的策略下包含了HTTP 協(xié)議合規(guī)性、SQL 注入阻斷、跨站點腳本攻擊防護(hù)、表單、ookie 篡改防護(hù)、DoS 攻擊防護(hù)等，這是傳統(tǒng)防火墻從來就沒有涉及的領(lǐng)域。

添加設(shè)備修改網(wǎng)絡(luò)結(jié)構(gòu)
 

 通過上述分析，我們需要對趙明的網(wǎng)站結(jié)構(gòu)中添加三個設(shè)備，即：Web防火墻、數(shù)據(jù)泄漏產(chǎn)品和傳統(tǒng)的內(nèi)網(wǎng)高速防火墻。這三個產(chǎn)品并分別存放在：Web服務(wù)器前端，交換機(jī)后面的數(shù)據(jù)庫區(qū)域（背對背防火墻，防止數(shù)據(jù)庫直接暴露），以及文件服務(wù)器和內(nèi)網(wǎng)客戶端上部署數(shù)據(jù)泄漏產(chǎn)品。

我們選擇了市面上占有率較高的產(chǎn)品作為以下拓?fù)鋱D中實例： 

◆華為Eudemon 300 千兆防火墻 

◆明御Web 應(yīng)用防火墻 

◆Websense Content Protection Suite防數(shù)據(jù)泄露

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】  

【編輯推薦】

1. “拯救網(wǎng)站運維經(jīng)理趙明”有獎方案征集啟事
2. “標(biāo)本兼治”救趙明將黑客“拒之門外”