第一章 XXXXX 网站网络安全
1.1 XXXXX 网站网络安全现状
XXXXX 网站在运营商的IDC 机房租用了多组独立的机柜，放置多台应用服务器，在Internet 上提供多种内容服务，其中包括新闻、论坛、博客、彩铃、游戏等。
由于每日访问量较大，IDC 提供了千兆线路，用户的Web 应用采用了负载均衡设备。即所有Web 访问先到达负载均衡器，由负载均衡器再将请求转发给内部的多台Web 服务器之一，从而提高整体的Web 服务的性能。
Web 服务器后台为数据库服务器，对Web 服务器提供数据支持。同时Mail、DNS 服务器都在内部自行管理。

已增加了多台Web 服务器进行扩容，这为维护管理带来了很大的麻烦；
b) Mail 服务器经常收到大量的含有病毒的邮件，由于Mail 服务器对网站注册用户提供邮件服务，因此客户经常抱怨病毒太多；
c) Mail 服务器经常收到各类垃圾邮件，严重消耗了Mail 服务器的资源，同时给注册客户带来不好的影响，影响了网站形象；
d) 对服务器远程维护的端口受到黑客的攻击；
1.2 XXXXX 网站网络安全风险分析
从XXXXX 网站的实际情况来看，我们认为应该从以下几个方面进行全面的
分析：
   网络层
   系统层
   应用层
下面将分别进行详细的阐述。
1.2.1 XXXXX 网站的网络层安全分析
网站内主机均为公网IP 地址，每天受到大量的攻击入侵。主机系统内运行的TCP/IP 协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。黑客常常针对Web 服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见得一些手法如下：IP 欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD 等）、分布式拒绝服务攻击、篡改、堆栈溢出等。
在XXXXX 网站的入口处，基本上还没有严格的防范措施，其中的安全隐患不言而喻。负载均衡器虽然可以抵抗部分入侵行为，也仅仅是少量的常见的网络层攻击行为，同时势必加重自身的资源消耗。
而DNS、Mail 服务器前就完全没有任何防护设备，完全依靠系统自身的安全性抵抗各类攻击行为。
所有的服务器都需要远程维护，而开放远程维护端口又增加了网络安全隐患，黑客不停地利用字典攻击企图获取进入系统后台的口令。
因此需要在Internet 的入口处部署具有防火墙功能的设备，可以进行有效的访问控制。利用访问控制策略阻断对非服务端口的访问及扫描。限制对远程管理端口的可访问主机IP 地址。从而加强在网络层的安全。
1.2.2 XXXXX 网站的系统层安全分析
在XXXXX 网站的网络中都运行着不同的操作系统，如：Windows、 Linux等等，这些系统都或多或少地存在着各种各样的漏洞。据IDC 统计1000 个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。

XXXXX 网站的网络中存在大量的服务器，如：Web 服务器、数据库服务器、邮件服务器、DNS 服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务器（尤其是有大量的数据处理的服务器），一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的服务器进行全方位的防护。
1.2.3 XXXXX 网站的应用层安全分析
XXXXX 网站对Internet 用户提供包括Web、FTP、E-mail、DNS 等各种Internet 应用。应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题，黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的，比如针对错误的Web 目录结构、CGI 脚本缺陷、Web 服务器应用程序缺陷、为索引的Web 页、有缺陷的浏览器甚至是利用Oracle、 SAP、
Peoplesoft 缺省帐户。
计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA（国际计算机安全协会）的统计，目前已经有超过90%的病毒是通过网络进行传播的。
而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。
XXXXX 网站对外提供邮件服务，因此及其容易收到还有病毒的邮件。这些邮件再被注册用户下载后，会严重影响用户的PC 安全。从而影响到网站的形象。
因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起XXXXX 网站的特别重视。
与病毒同样具有威胁力的是垃圾邮件。Mail 服务器会每天都收到大量的垃圾邮件，这些邮件包括含病毒的、广告类的、欺骗性的、不健康的、反动的等等。要提高对注册用户的邮件服务质量，就必须将这些垃圾邮件进行拦截，避免用户收到。因此XXXXX 网站也面临着对抗垃圾邮件的艰巨任务。

第二章 XXXXX 网站安全解决方案
上面分析了XXXXX 网站的网络状况与安全风险，XXXXX 网站的网络面临着黑客、蠕虫病毒、网络入侵、垃圾邮件等多种混合型威胁，需要使用专门的安全产品，从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。如果在XXXXX 网站的网络出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN 等一系列安全产品，采购产品成本及将来的维护成本过高，因此这样的选择基本不可行。在此，我们推荐使用WatchGuard 公司的新一代硬件综合安全网关Firebox X 系列产品，在XXXXX 网站的网关处形成综合安全防护体系。
2.1 安全设备的部署
在网关处我们部署一台WatchGuard Firebox X8500e。Firebox X8500e 提供8 个10/100/1000 以太网口。Firebox 代表着业界最先进的技术方向，在安全、稳定、高效方面都有着极其优异的表现。Firebox X8500e 支持线性加速，高达2Gbps 的防火墙吞吐量和1,000,000 的并发连接数，完全可以满足XXXXX 网站对高处理性能的要求。
XXXXX 网站的网络安全方案如下图所示：

2.2 对DNS 服务器的防护
我们将DNS 服务器连接在Firebox X8500e 的Internal-01 接口上。设置访问控制策略，仅允许从External 接口进入的任何IP 地址访问Internal-01 接口的DNS 服务器IP 地址，开放的服务为DNS Incoming 代理。DNS Incoming 代理不单纯是控制Port 53，而是进一步检测DNS 应用中的信息，阻断基于DNS 查询的攻击行为。

2.3 对Mail 服务器的防护
2.3.1 控制可访问Mail 服务器的端口
我们将Mail 服务器连接在Firebox X8500e 的Internal-01 接口上。设置访问控制策略，仅允许从External 接口进入的任何IP 地址访问Internal-01 接口的Mail 服务器IP 地址，开放的服务为SMTP 代理、HTTP 代理、POP3 协议。
2.3.2 对邮件病毒的防御
SMTP 代理可以阻断利用SMTP 协议传输病毒邮件的行为；HTTP 代理可以阻断利用Web 传输邮件时夹带病毒的行为。
2.3.3 对垃圾邮件的控制
SMTP 代理启用SpamBlocker 后，可实时检测垃圾邮件，提供即时保护。它是目前业内实时区分合法通信与垃圾邮件的最佳服务，能过滤高达97% 的垃圾邮件。
SMTP 代理本身也可以对邮件附件、邮件大小、邮件类型等参数进行很好的控制。

2.4 对Web 服务器的防护
Web 服务器是XXXXX 网站的最主要业务，因此必须做到严密防护。
2.4.1 控制可访问Web 服务器的端口
我们将Web 服务器连接在Firebox X8500e 的Internal-01 接口上。设置访问控制策略，仅允许从External 接口进入的任何IP 地址访问Internal-01 接口的
Web 服务器IP 地址，开放的服务为HTTP 代理。
2.4.2 对Web 服务器入侵防御
对于HTTP 的请求，HTTP 代理可以进行精细的访问控制。具体内容如下所示：
□Request Methods
关于GET、PUT、POST 等请求的使用方法。可以允许或拒绝。
□URL Paths
控制URL 字段。可以在该字段内指定允许或拒绝的字符串，防止攻击者在该参数中插入非法字符串。
□Header Fields
控制页眉信息
□可以控制URL 的最多字符数。
Web 应用程序的缓冲区溢位，大多是由于对URL 指定的字符串的长度及内容（输入字符串的长度及内容）检查不周全而引起。控制URL 长度可以避免此类事情的发生。
Firebox X8500e 可以限制到达Web 服务器的每秒连接数量，超过该连接数量的连接将被拒绝。此功能可以有效地防止大量空连接消耗Web 服务器资源的攻击行为。
Firebox X8500e 的智能分层安全防御体系一旦将某一IP 地址确定为攻击源，则以后来自该IP 地址的攻击将被实时阻止，防止恶意访问流再次侵扰网络。这样可以大大屏蔽掉伪造的虚假IP 地址对Web 服务器的大规模连接行为。
Firebox X8500e 的IPS 签名都通过了WatchGuard Threat Defense Center的开发和测试。超过1,400 种最为活跃威胁的检查数据库确保了高精度和低误差。
2.5 对应用服务器的安全管理
远程维护网络与Firebox X8500e 建立安全的IPSec VPN 通道，所有对应用服务器的后台管理均通过VPN 隧道进入网站系统。从前面的设置可以看出，我们在Firebox X8500e 没有开放任何用于远程管理服务器的端口。而要管理这些应用服务器，必须建立起IPSec VPN 网络。这样可以提高远程管理的安全性，因为所有管理信息都是在Internet 上加密传输的。将内部交换机连接在Firebox X8500e 的Internal-02 接口上。设置访问控制策略，仅允许从External 接口进入的有效的管理IP 地址访问Internal-02 接口的私有IP 地址，开放的服务为远程管理所需要的端口。每台Web 服务器均配置有2 块网卡，其中一块网卡配置私有IP 地址，用于与数据库服务器进行数据交换。这块网卡将是远程管理的接口网卡。
设置访问控制策略，仅允许从External 接口进入的有效的管理IP 地址访问Internal-01 接口的Mail、DNS 服务器IP 地址，开放的服务为远程管理所需要的端口。如此设置，就可以远程管理Mail、DNS 服务器了。