【拯救赵明】四块‘木板’打造一个安全的网络环境

四块‘木板’打造一个安全的网络环境

（赵明企业网络整改方案）

前　　言

木桶效应是说对于一个沿口不齐的木桶来说，它盛水的多少，不在于木桶上那块最长的木板，而在于木桶上最短的那块木板。实际上企业网络安全防线就好比是这个木桶，而企业网络不安全因素是永远存在的这就好比木桶里的水。如何不让‘水’突破‘木桶’的防线取决于最短的那块‘木板’。上海装修公司http://www.zhixian.com.cn/上海装修



企业现状分析

通过对视频的分析，赵明企业规模不大。企业对于网络安全建设投入的资金相对谨慎。随着企业的发展，建设初期网络安全考虑不足，机房管理混乱和糟糕的网络系统结构这些弊端逐渐显露，以至于网站多次遭到外部的侵入，导致目前企业网络存在严重的安全问题。一个相对安全的网络需要在尽可能的前提下防范住所有可能的安全隐患，任何一个安全上的漏洞都可能对企业造成直接的经济损失。网页被篡改决不是WEB服务器安全性不够这么简单。

从视频中了解到赵明的企业向客户提供基于WEB访问的服务，WEB服务器的安全可靠对企业来说是至关重要的。为了增加WEB服务器的效率和可靠性，企业增加了备用WEB服务器并且做了负载均衡。但事实上证明这对企业网络可靠性增强并没有起到很好的效果，它并不能满足企业高可靠性需求（一块木板不可能组成一个木桶）。赵明企业的网络整改必须从网络整体考虑，不忽视每一个安全细节是确保企业网络可靠的前提。

以下是赵明企业的网络拓扑结构：



首先从目前的拓扑结构看来， 企业没有为WEB服务器等服务器建立企业级防火墙，没有单独开辟DMZ隔离区域。WEB服务器、内部文件服务器、数据库服务器这些服务器的功能是不同的，例如：WEB服务器主要针对外部访问为外部用户提供服务，而文件服务器和数据库服务通常情况下主要是提供网络内部访问。把这些服务器同时暴露在互联网上是非常不明智的做法，这使得外部侵入后的攻击范围加大。同时内部网络的安全情况也直接影响了WEB服务等关键业务的正常运作，一旦内部的个别主机被入侵或者攻击直接来自内部，可能会造成更大的危害。

其次在目前的网络中缺少对网络安全来说最为主要的企业级网络防火墙、使得企业无法有效的部署网络安全策略，导致了极大的安全隐患。无疑给攻击者和别有用心之人大开了方便之门。

最后可集中化管理的企业级病毒防护和可持续性的补丁更新等安全性服务，没有得到企业足够的重视是引起个别主机安全性不足的主要漏洞。

整改预计达到目标

Ø合理规划网络，为企业日后的整体发展、网络管理、业务拓展奠定系统基础。

Ø将企业对外应用与企业对内应用明确划分，降低服务器被攻击的风险。

Ø建立企业级防火墙部署，合理配置安全策略，能够防御及时阻断和纪录攻击行为，确保企业网络安全。

Ø建立企业病毒和补丁控制中心，以防范各类木马和病毒确保企业各类应用不会因为系统本身漏洞导致安全上的缺陷。

Ø向管理者提供及时和全面的系统信息，使管理者能够随时分析和掌控当前的网络局面，进而提高企业网络的总体质量。

赵明企业网络整改方案

l第一块‘木板’－　调整当前的网络结构



（图二）

如上图：这个设计的思路是将对外应用的WEB服务等相关服务器与内部应用服务器在网络规划上彻底分开，并在其关键节点增加网络防火墙等安全设备。这样做有如下好处：

ü有效解决当前网络划分不清的问题，降低了各种安全问题所影响的网络范围。

ü企业只要在IPS防火墙上设置相应策略就可以对Internet、DMZ区域、内部网络进行相应策略管理，方便了企业管理应用。

ü为今后企业网络扩展管理奠定了一定基础。如果企业今后需要增加对外服务，例如：MAIL,MESSENGER或其它主要对外服务时只需要在当前DMZ区域增加相应设备既可。设备更换或者重新构架冗余路由或网络时不需要对现有网络结构进行较大改动。

l第二块‘木板’－　建立防火墙部署

为了达到被攻击前进行防御，攻击时进行阻断，有效的纪录安全事件的目的。防火墙采用了国内著名生产厂商联想网御系列的IPS入侵防御系统，它是一款国内自主研发拥有自主知识产权的新型IPS，符合国内网络安全需求。

普通防火墙无法阻止内部人员攻击、对信息流的控制缺乏灵活性，攻击发生后很难利用防火墙所纪录的信息进行调查取证。而普通IPS入侵防御系统通常在网络交换机上进行旁路监听，发生入侵事件后进行警报，虽然可以检测到攻击行为但是很难进行主动的防御和阻断。如果企业同时部署两套产品虽然可以达到相应目的，但是无论是从管理难度上还是资金投入上都并不划算。

联想网御IPS入侵防御系统结合了两者的优点，弥补了不足之处。同时作为国内知名厂商，网御系列产品丰富可以适应各类企业的网络需求，价格合理，技术支持及后续服务可靠，便于企业今后设备的管理、维护和升级。

产品本身具有如下特点：

ü内外兼修

“对外”净化流量。支持入侵防护和访问控制功能，有效拦截外网攻击。

“对内”优化流量。支持绿色上网和带宽管理功能，合理管控内网应用。

ü检测精准

SmartFilter行为跟踪分析技术，跟踪应用层行为特征，应对端口变形、隧道加密等各种规避手段，从而准确识别各种应用。

ü可靠性高

内置软/硬件Bypass，支持HA、集群部署，多重机制确保网络运行的稳定可靠，降低断网几率。

ü部署灵活

支持透明交换、路由、混合HA集群部署等多种部署方式，适应各种复杂的网络环境。

ü协同防护

联想网御IPS与内网安全管理产品的协同防护减轻了IPS的网络负担，可最终确定威胁点进行阻断。

ü多方式响应

联想网御IPS提供了丢弃封包、切断会话、限制带宽、日志纪录、实时警报、邮件警报、声音警报等多种响应方式。使管理人员第一时间掌握和控制威胁。

其它优点和性能可参考：http://down.51cto.com/data/77492#

l第三块‘木板’－　建立企业病毒和补丁控制中心

　联想网御IPS入侵防御系统有效解决了内部以及外部网络中流动数据的安全性。但是它不能解决计算机病毒对计算机系统造成的危害，也不能解决由于计算机系统本身漏洞造成的安全隐患。

建立补丁中心，防住系统漏洞：

赵明企业大部分员工使用的是微软的视窗系统、OFFICE办公软件、SQL数据库软件等。微软通常每个月８日左右在其官方网站上发布相应的系统补丁程序，这些补丁对于系统来说至关重要。目前已知的各种病毒木马或多或少都利用了系统中存在的各种漏洞进行传播。随着时间的推移，新的漏洞不断的被发现，新的补丁也不断推出。企业必须及时更新这些补丁以确保安全，如果靠每个员工自发的升级补丁程序，往往得不到很好的效果。所以针对企业用户微软提供了Windows Server Update Service(WSUS)软件工具，它具有如下特点：

ü迅速、安全、便于管理、部署成本低，升级过程可控并且是自动的

ü利用WSUS企业可以在第一时间从微软网站获得微软各类产品的补丁更新，WSUS包括了微软的Server和各类操作系统补丁、OFFICE系列软件补丁、微软ISA软件防火墙补丁、SQL数据库、开发工具等补丁。补丁通过WSUS服务器一次性下载，避开Internet使用高峰。内部计算机只需通过内部网络既可迅速更新，一定程度上优化了网络速度。

ü这些补丁程序直接从微软获取，属于第一手资源，没有经过任何第三方更改和优化，在安全上更有保障。

üWSUS可通过策略部署，完善的管理界面和便捷的部署方式不单简化了企业管理的难度，在企业应用的安全性和可靠性上也下足了功夫，很大程度上提高了企业管理效率。

üWSUS软件是一个完全免费的产品。企业只需要额外投入一台补丁和病毒控制中心公用的服务器，用于运行WSUS软件以及病毒防护软件控制中心。

建立病毒控制中心，防止病毒危害：

为企业量身定制的WSUS服务器，堵住了微软系统和软件产品的漏洞。所以病毒防护对与企业网络来说还是采用专业的企业级病毒防护软件较为妥当。因为企业的员工计算机水平通常参差不齐，某些计算机安全意识薄弱的员工并不是对企业没有贡献。单机版杀毒软件通常需要通过计算机使用人来管理和维护，一来给维护情况无法保证，给企业带来安全问题，二来非计算机管理专业的员工也会很不情愿为自己计算机应用上的疏忽而负责。企业版杀毒软件通常附带病毒控制中心，专业管理人员只要在控制中心即可查询到每台电脑的病毒数据库更新情况，病毒隔离情况，并可以为相应的电脑指定杀毒和软件运行权限控制等等。

考虑到尽可能有效利的用企业资源，杀毒软件和补丁服务同是属于安全类产品的情况下，将这两种企业应用整合到一台服务器中并不会产生软件方面的冲突，增设一台服务器也比较适合管理和部署。

企业版杀毒软件推荐采用ESET NOD32企业版杀毒，原因如下：

ü该杀毒软件在全球顶级杀毒软件的排名上是前５位的。

ü该杀毒软件占用的系统资源少，可以以不同的方式进行病毒预警。

ü相比其它知名杀毒软件，NOD32在价格上平易近人。

NOD32杀毒软件的更多情况可参考：

http://netsecurity.51cto.com/art/200710/58819.htm

l第四块‘木板’－　安全管理部署

如果说上面的三项改进代表了网络结构调整、入侵防护控制、补丁病毒管理这三个面，作为企业第四块‘木板’的安全管理部署则是整个‘木桶’的基础。它不单是从网络、硬件、软件的角度进行改进，还需要根据企业的特点量身定制一套相应的管理方法。

改进相关制度：

ü机房存放着公司核心业务服务器和设备，所有进出人员必须要登记相应的进出时间，纪录进出机房的理由和工作内容。（如果条件允许应该在机房出入口加装比纸张纪录更为可靠的门禁以及视频监控系统。）

ü虽然说在联想网御IPS上可以进行一系列设置阻止员工访问一些不安全的站点、使用一些不安全的聊天工具、下载软件等。但是这些必须作为企业的一项制度来执行，使其行之有文。

ü文件服务器存放着企业的各类文件，对于文件的读取、修改、写入，必须按照企业规定，特定的人访问特定的文件，做特定的工作。禁止员工贪图工作方便或不顾企业数据安全私自传递和篡改文件。

ü移动设备（移动硬盘、优盘等）企业Mail的使用，必须符合公司规定。禁止员工使用这些设备复制、拷贝和运行任何非工作性质文件到企业网络范围内的任何设备中。

ü企业必须制定各类密码的保存方法以及相关的使用规范，确保每个密码落实到每个用户。

ü网络管理者不了解网络内主机运行情况、运行状态、病毒情况使得部分原本可以预防的问题扩大。必须定期进行相应的运行情况、运行状态、病毒情况包括各类系统日志进行分析。使管理者可以时刻站在新的时刻、新的角度做出新的预期。

ü禁止直接使用服务器浏览网页，下载文件等。服务器只允许进行自身应用、下载安装安全的补丁和病毒库、查看相关事件日志和维护操作。

ü针对WEB站点的安全的重要性，企业必须制定WEB站点安全评估方法，定期对WEB站点进行安全评估。

针对企业所有服务器和客户端的各项安全设置：

ü基于windows的文件系统一律使用NTFS结构

ü每台计算机只开放必须使用的网络端口其余端口一律关闭

ü按每台服务器的功能，停止与服务器应用无关的服务

ü进行网络共享或存放重要数据的分区需要建立卷影副本。

ü本地安全策略中设置审核策略，自动在日志中记录文件使用情况、用户登录情况等。

ü对本地用户、域用户进行权限分配，删除不需要的用户和用户组。可以更改Administrator用户名和权限，设置某些看似权限很大的虚假账户并对这些账户的日志事件予以关注。

ü使用组策略进行其它安全设置，例如：强制用户进行口令更改、设置错误口令登陆次数、拒绝部分用户组访问注册表、删除匿名访问的共享、禁用USB设备等。

针对WEB服务器的安全设置：

ü无论站点采用何种开发方式ASP、PHP、JAVA、HTML，如果站点程序代码本身存在安全性问题，那即使操作系统和网络安全防护的再好也无济于事。企业可以使用类似于IBM Rational AppScan 之类的工具软件对企业网站进行全盘扫描并修正不安全的代码或者也可以通过可信的第三方评估和修正来确保WEB站点代码安全。

ü注入式的攻击有SQL、脚本注入等。可以通过加入验证、控制与参数分离避免用户输入的代码被执行等方法进行防御。

ü在众多的WEB安全事件中，攻击者通过SHELL上传的攻击模式是比较常见的，首先企业需要确保WEB站点代码中的上传组件的安全性，另外对于赵明企业来说服务器本身在企业内部，完全可以不采用例如FTP的方式更新站点。如果外部用户访问只通过80端口，其它没必要的端口可以一概关闭。

ü对WEB后台管理口令来说一个弱密码非常容易被暴力破解，所以一个绝对强壮的密码可以在一定程度上保证网站安全。

所涉及软硬件清单

名　　　称	数量
联想网御系列防火墙	一台
普通交换机或可对内部网络进行管理的三层交换机	一台
用于安装企业版杀毒软件和WSUS补丁的服务器	一套
NOD32企业版杀毒软件（含病毒控制中心）	一套
IBM Rational AppScan 之类的网站安全分析软件	一套

后　　续

谁能够拯救‘赵明’？凭这一纸空文最多也只是提供给我们的‘赵经理’一个解决问题的思路。在上面的改进方案中，企业制度的改进、WEB服务器代码安全、IPS设置、病毒防护、网络结构调整这其中的任何一项都不是本文能够详细讨论的范围。所以笔者不是‘救世主’，但我相信‘赵经理’结合了51CTO众多网友的观点后应该能够自救！～～

我写的这些内容对于企业网络安全来说或许只是一个开始，真正要做好一个企业网络的安全工作是一件任重而道远的事。Internet是一个网络的海洋，企业如果希望能够在这个海洋里航行的更远又岂是一个‘木桶’能够做到的？随着企业的发展，企业应该更加重视企业网络的安全工作不断的把‘木桶’做好、做大，做成一艘真正可以航行的更为牢固可靠的‘大船’。

笔者和众多的51ctofans一样，我们每天都在为能够建造更为安全和高效的网络而努力着。我们期望更多的‘赵明’能够被‘拯救’～～～

本文出自 “酷鸟的技术交流区” 博客，转载请与作者联系！