DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web業(yè)務(wù)系統(tǒng)以及其他對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)。將 Web業(yè)務(wù)放置在DMZ區(qū)，可以避免承載重要數(shù)據(jù)的服務(wù)器直接面對(duì)來(lái)自互聯(lián)網(wǎng)的攻擊，起到緩沖的作用。

萬(wàn)兆網(wǎng)絡(luò)并不僅僅意味著網(wǎng)絡(luò)帶寬的增加，與之相匹配的業(yè)務(wù)系統(tǒng)亦隨之而變得更加復(fù)雜。萬(wàn)兆安全解決方案并不是簡(jiǎn)單的選擇相應(yīng)安全設(shè)備的萬(wàn)兆型號(hào)，還會(huì)包括更為復(fù)雜的部分。拿最為常見(jiàn)的Web業(yè)務(wù)安全舉例，我們可以清楚的看到，隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化，安全防護(hù)措施也在不斷完善。

單一技術(shù)對(duì)抗簡(jiǎn)單的攻擊手段的時(shí)期

這個(gè)時(shí)期，由于Web威脅行為的危害程度不是非常高，調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)或者是部署WAF產(chǎn)品，都可以在很大程度上解決Web威脅相關(guān)問(wèn)題。其主要的手段有以下兩種：

1.通過(guò)設(shè)置DMZ區(qū)來(lái)防御Web威脅

DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web業(yè)務(wù)系統(tǒng)以及其他對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)。將 Web業(yè)務(wù)放置在DMZ區(qū)，可以避免承載重要數(shù)據(jù)的服務(wù)器直接面對(duì)來(lái)自互聯(lián)網(wǎng)的攻擊，起到緩沖的作用。

2.通過(guò)部署WAF產(chǎn)品來(lái)抵御Web威脅

隨著攻擊技術(shù)的發(fā)展，尤其是注入技術(shù)的出現(xiàn)，DMZ已經(jīng)不能起到安全防護(hù)的作用了，攻擊者可以通過(guò)最為正常不過(guò)的HTTP協(xié)議，攻陷Web業(yè)務(wù)前臺(tái)系統(tǒng)，從而直接對(duì)后臺(tái)數(shù)據(jù)進(jìn)行訪問(wèn)或者是篡改。于是出現(xiàn)了用于抵御應(yīng)用層攻擊的WAF類產(chǎn)品，對(duì)Web業(yè)務(wù)前臺(tái)系統(tǒng)的漏洞進(jìn)行封堵，藉此來(lái)防護(hù)Web 業(yè)務(wù)系統(tǒng)的安全。

多技術(shù)組合對(duì)抗復(fù)雜攻擊手段的時(shí)期

這個(gè)時(shí)期，網(wǎng)絡(luò)帶寬、應(yīng)用業(yè)務(wù)的復(fù)雜度都進(jìn)入了一個(gè)新的階段。Web業(yè)務(wù)資產(chǎn)價(jià)值的提升、Web威脅行為的危害程度升級(jí)，都進(jìn)一步加大了Web業(yè)務(wù)的風(fēng)險(xiǎn)值。這個(gè)時(shí)期對(duì)Web威脅的防御，不能僅僅考慮Web業(yè)務(wù)本身，而應(yīng)當(dāng)擴(kuò)展到全業(yè)務(wù)流程中去。

仔細(xì)審視大流量環(huán)境下的Web業(yè)務(wù)系統(tǒng)，我們可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)點(diǎn)不僅僅存在于網(wǎng)絡(luò)的出口。由于業(yè)務(wù)系統(tǒng)的龐雜，各個(gè)節(jié)點(diǎn)都可能存在安全隱患。

1.網(wǎng)絡(luò)出入口的安全隱患

分布式拒絕服務(wù)攻擊（DDoS）。意大利政府網(wǎng)站、墨西哥政府網(wǎng)站、CIA網(wǎng)站都是DDoS攻擊的受害者。

數(shù)據(jù)竊取和頁(yè)面篡改。今年，某黑客組織曾攻陷了數(shù)百個(gè)政府機(jī)關(guān)網(wǎng)站并篡改其網(wǎng)站頁(yè)面。后來(lái)，該黑客組織還公布了1.7G的竊取自美國(guó)司法部的數(shù)據(jù)。

2.后臺(tái)數(shù)據(jù)庫(kù)的安全隱患

數(shù)據(jù)庫(kù)的越權(quán)訪問(wèn)。對(duì)于大型Web業(yè)務(wù)系統(tǒng)而言，后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的維護(hù)者往往采用另外的維護(hù)入口進(jìn)行數(shù)據(jù)庫(kù)相關(guān)維護(hù)，擁有數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的維護(hù)人員的越權(quán)操作，將影響Web業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

敏感信息泄露。除了可能存在的越權(quán)數(shù)據(jù)庫(kù)訪問(wèn)之外，運(yùn)維人員所使用的PC上往往存放著一些重要的信息，如數(shù)據(jù)庫(kù)表結(jié)構(gòu)、管理員密碼等。這些信息也存在通過(guò)IM或者是郵件、U盤(pán)等泄露的可能。

一個(gè)面對(duì)復(fù)雜Web業(yè)務(wù)系統(tǒng)的安全解決方案，需要考慮到上面所提到的所有問(wèn)題。同時(shí)，結(jié)合信息安全體系中經(jīng)典的PDR模型，還需要同時(shí)考慮到檢測(cè)、防護(hù)和響應(yīng)三個(gè)方面。

以國(guó)內(nèi)信息安全領(lǐng)軍企業(yè)啟明星辰的產(chǎn)品為例，通過(guò)將萬(wàn)兆WAF、萬(wàn)兆流量清洗與抗拒絕服務(wù)產(chǎn)品（ADM）和其他安全產(chǎn)品進(jìn)行組合，能夠提供全面的Web應(yīng)用安全解決方案。在網(wǎng)絡(luò)出入口部署WAF、流量清洗與抗拒絕服務(wù)產(chǎn)品進(jìn)行防御;在網(wǎng)絡(luò)內(nèi)部部署堡壘機(jī)及數(shù)據(jù)防泄密（DLP）產(chǎn)品，降低由于內(nèi)部運(yùn)維人員的違規(guī)操作帶來(lái)的安全風(fēng)險(xiǎn)，同時(shí)還提供針對(duì)業(yè)務(wù)系統(tǒng)的漏洞掃描產(chǎn)品，以提前發(fā)現(xiàn)安全隱患。而PDR模型中的響應(yīng)部分，大型Web業(yè)務(wù)系統(tǒng)需要建立安全應(yīng)急響應(yīng)規(guī)范及隊(duì)伍，以應(yīng)對(duì)緊急情況下的應(yīng)急處理。

從上面的例子可以看出，萬(wàn)兆網(wǎng)絡(luò)的安全問(wèn)題并不只與帶寬相關(guān)，帶寬的變化同時(shí)也帶來(lái)了業(yè)務(wù)復(fù)雜度的增加，從而對(duì)安全提出了更高的要求。當(dāng)然，帶來(lái)變化的不僅僅有帶寬，無(wú)線、IPV6、云計(jì)算、BYOD（自帶設(shè)備辦公）、SCADA，這些業(yè)務(wù)模式的變化都引發(fā)了安全狀況變化。為了適應(yīng)這種變化，安全防護(hù)手段亦需隨之而變。

　　推薦閱讀

　　蘋(píng)果發(fā)新品：元件供應(yīng)商名錄成“投資指南”

一個(gè)最樂(lè)觀的報(bào)告說(shuō)，到年底，蘋(píng)果打算推出5200萬(wàn)臺(tái)iPhone5。真是讓人心馳神往的數(shù)字>>>詳細(xì)閱讀

本文標(biāo)題：案例分析：萬(wàn)兆環(huán)境下的Web安全思考

地址：http://m.sdlzkt.com/a/xie/20120201/115692.html

 1/2    1  2 下一頁(yè)