标题: 用于服务器接入的防火墙网关的八个关键性功能 [打印本页]
作者: Zeus 时间: 2013-10-17 10:15 标题: 用于服务器接入的防火墙网关的八个关键性功能
如何为服务器应用发布选择防火墙网关?是第一代防火墙(FIREWALL)?还是第二代/下一代防火墙(UTMWALL/NGFW)?或是下下一代防火墙☺?武汉中神通为您列举了8个关键性功能,是降低服务器遭受高持续性渗透攻击(APT)风险的最佳解决方案,请大家在选择时参考。
根据网络规模及用户实际,这8个功能可以集中在一台防火墙上设置,并将各服务器与局域网划分成不同的安全域(如上图所示),这样可以保证即使一个安全域内的服务器被入侵也不会影响到内网PC或其它服务器,将损失控制在最小范围内,同时也方便管理,节省空间,降低总体拥有成本(TCO);也可以将这8个功能分布于多台串联或并联的安全设备中,做到专机专用,应付大流量网络的需求。以下是这8大关键性功能详述:
一、基于策略的NAT规则(DNAT)、访问控制(ACL)及用户认证(AAA)
用于为各种来源IP、目的IP、例外IP、请求时间的网络请求提供不同的端口转发策略,方便服务器的管理及部署,方便内网用户通过公网IP或域名访问架设在自家内网里的服务器;提供虚拟IP(VIP)功能,实现对多个公网IP资源的充分利用;面向公网访问的移动管理员用户、分支机构、合作伙伴提供精细的ACL控制策略,防止数据库、API调用、FTP、SSH、远程桌面等内部应用被非法、越权访问,避免被扫描或暴力破解;如果用户IP是动态的,无法事先确定ACL中的源IP,则可以运用用户认证技术,为用户提供WEB认证门户,让认证过的用户访问内部应用,还可以通过批处理、源代码编程实现认证自动化,由此构成的资源访问控制系统比VPN性能好、稳定性高、维护简单、部署也更快捷,适合大规模的广域网用户安全、高效地访问内网应用或局域网中内部应用的安全访问。
二、多WAN口链路接入(M-WAN)及多DMZ区链路接入(M-DMZ)
多WAN口链路接入用于为电信、网通、教育网等不同ISP网络的用户提供本地化接入,对来自不同ISP网络的请求按接入线路返回服务器数据包,可以优化网络速度,提高服务质量。同时启用线路健康检查,屏蔽、恢复失效线路,实时保障可用性。
多DMZ区链路接入(M-DMZ)用于接入并隔离DMZ区的服务器,每一台服务器均接入防火墙网关的一块物理网卡上,服务器之间一般不允许通讯,除非有需求(除非允许,否则拒绝),防止一台服务器被黑后(绕过堡垒机等)成为跳板,攻击其它服务器。
三、服务器负载均衡(SLB)及反向代理(R-Proxy)
用于将网络请求流量平均分配到DMZ区内2台或以上的服务器上,并负责对服务器进行健康检查,可以提高服务器响应速度、保障24小时在线率,保障网站的可扩展性,提高服务质量;对于内网几台独立的WEB服务器共用一个公网IP的情况,可以开启反向代理功能实现连通。
四、WEB防火墙(WAF)、入侵检测与防御(IDP)或及蜜罐检测(HoneyPot)
用于实时拦截黑客通过SQL注入、XSS等方式扫描、入侵服务器,阻止黑客扫描管理后台网址及备份文件等敏感文件,阻止黑客上传并利用WEBSHELL后门程序,或通过白名单的方式100%保障政府、公司等展示型网站的安全;IDC服务商可以利用WAF,以白名单的方式屏蔽没有在国内备案的域名,既符合了通信局的法规同时也节省了管理成本。用户可根据网上权威信息自定义7层IDP特征码用于防御应用厂家未能及时发布补丁的0day攻击,或者开启蜜罐检测+网络审计功能,用于发现、诱捕、阻拦潜在的黑客(C段扫描)或僵尸网络。
五、抗SYN洪水、CC攻击
用于阻拦黑客发送SYN洪水、CC攻击包攻击服务器,合理分配每用户可用资源,防止出现服务器资源耗竭,可以剔除有害流量,保证服务器的接通率。
六、异常流量检测
用于检测、定位内外网用户发出的各种持续流量(扫描、攻击、WEBSHELL、暴力猜测用户密码、撞库——用第三方数据库猜测用户信息、直接连接数据库服务器)、上传流量(黑页、挂马)、超大流量(拖库)和DDOS流量,且能够提供Netflow数据流,方便集中存储及管理,可以保证服务器的接通率,快速排除故障隐患;
七、内网上网行为控制
用于记录内网PC、DMZ服务器C的上网行为,防止内网ARP病毒攻击,防止黑客留下的木马、后门程序;启用DNS防火墙,过滤dnslog查询、C2C服务器域名等涉黑查询;防止内部员工未经授权的FTP上传等破坏服务器原始内容的行为,可以方便地查找来自内网的入侵行为,保障服务器的完整性;开启POP3邮件过滤功能,屏蔽危险或所有附件,防止木马攻击。
八、至少60天的本地日志存储
用于在防火墙内部记录用户方发出的WEB URL、POST等请求信息,上级ISP路由器连通性检测结果以及防火墙自身CPU、内存、网络吞吐量、会话数、并发用户数等24小时运行趋势图,防止因黑客删除服务器日志、服务器硬件故障等导致的日志丢失,可以为本单位及公安局日后查找上网记录提供可靠的日志“黑匣子”服务。必要时,开启远程syslog日志输出,实时输出日志记录到远程syslog服务器,还可以防止本机日志被破坏。
更多信息请查看:
1)WORD全文下载:
http://www.trustcomputing.com.cn/utmwall-rom/Key_Function_of_a_IDC_Firewall.doc
2)下一代SSLVPN——中神通SSLVPN优点描述:
http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/113-ngsslvpn
3)中神通UTMWALL-OS常见问答FAQ:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=609
[ 本帖最后由 Zeus 于 2022-6-15 17:30 编辑 ]
作者: Zeus 时间: 2015-10-20 23:03 标题: 详解Web服务器攻击及防护
导读:Web服务器攻击常利用Web服务器软件和配置中的漏洞,针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器,本文将详解Web服务器保护的一些方法。
Web安全分为两大类:
1.Web服务器的安全性(Web服务器本身安全和软件配置)。
2.Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。
0x01 Web服务器面临的攻击
Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括:
1.缓冲区溢出
2.文件目录遍历
3.脚本权限
4.文件目录浏览
5.Web服务器软件默认安装的示例代码
6.Web服务器上运行的其他软件中的漏洞,例如SQL数据库软件
让我们对上诉漏洞依个进行深入地探讨。
1.缓冲区溢出
缓冲区溢出允许恶意代码注入到应用程序,它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的,例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码,使用C语言编写:
char aTmp[100];
scanf("%s",aTmp);
在第一行中,程序员声明一个长度为100的数组aTmp。在第二行中,scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查,如果给定的输入超过100个字符,就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码,这部分汇编代码能够获得源程序一样的运行权限。
2.目录遍历
目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如,微软IIS Web站点的默认文件夹为C:\inetpub,攻击者可使用的目录遍历漏洞,在该文件夹之外去读取他们本不该访问的文件。详细来说,假如有一个网址为“www.bad.com”的网站,其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞:
1
| http://www.bad.com/../autoexec.bat
|
URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历,不然所有目录可能都是可访问的。这种情况下,Web服务器将显示“autoexec.bat”文件的内容,或者攻击者选择的任何其他文件。
值得注意的是:我们已经使用 IIS 作为示例;但是,此漏洞的利用不是针对IIS服务器的,在其他的Web 服务器上也有目录遍历漏洞。
3.脚本权限
为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序,管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例,探讨如果管理员将此权限授予C盘下的所有目录将发生什么。
1
| http://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir
|
首先我们来破译这神秘的URL。某些字符如空格和斜杠,不能出现在URL中,因为URL是限于7 -bit编码的ASCII码。然而,某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示,或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说,字母a表示十六进制中的数字10,f表示15,并使用10表示数字16。所以,在前面的示例:
· 空格使用ASCII编码表示为十进制的32,使用十六进制则为20,因此变成%20。
· 斜杠(/)使用ASCII编码表示为十进制的47,使用十六进制则为2f,因此变成%2f。
经Web服务器解析后,就成为下面的URL:
../winnt/system32/cmd.exe /c dir
这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”
文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件,并将结果返回给用户。当然,这是只是一个简单的例子,攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的。
图1是IIS目录权限的配置的截屏。最佳做法是只给包含需要执行的服务端应用的文件夹设置可执行的权限,而不是包含可被攻击者利用的软件的文件夹,例如包含“cmd.exe”或者其他内置的操作系统命令。
图1 IIS脚本权限控制台的屏幕截图
那是用于网站访问者运行的命令,而不是可能援助攻击者的软件,如cmd.exe或其他内置操作系统命令。
4.目录浏览
通常情况下,目录浏览是禁用的,但是如果启用它,则它显示该目录中的所有文件,并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此,不建议启用Web 服务器上的目录浏览。
5.默认示例
默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例,如果已经安装了,最好把它们删除掉。
6.其他服务
攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序,而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上,这样服务器受防火墙保护,只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器,他们也能够干扰或攻陷Web站点。
7.Web服务器软件的固有漏洞
每个Web服务器软件,包括IIS和Apache,由于缺乏安全的编码技术,该软件的程序员已经提供了内置漏洞。例如,IIS的.htr漏洞,允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞。
0x02 Web服务器的保护
针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性。
1.给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样,即使攻击者控制了Web 服务器,他们只能获得运行该软件对应的用户账户的权限。这样,攻击计算机或网络上的其他软件可行方案就极为有限了。
2.安装最新的安全补丁并时刻关注漏洞的最新动态。
3.删除默认示例并避免安装类似的示例。
4.通过删除不需要的应用程序,安全配置同一台计算机上的其他网络服务,确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全。
5.确保只给需要执行的脚本单独的目录运行的权限。
6.在Web服务器上每个目录中,都提供一个index.html文件,以避免需要目录浏览。
1.第三方安全产品
商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品:
1.软硬件防火墙
2.Web应用防火墙(WAFs)
3.病毒防御软件
4. 基于ISAPI的安全产品
5. 安全日志
6.反馈分析软件
7. 入侵检测系统和入侵检测防御系统
8.漏洞扫描软件
9. 输入验证
2.软硬件防火墙
防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。
3.Web应用防火墙
Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护,因为他们会解析HTTP会话的实际内容,寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击。
4.病毒防御软件
Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器,并且漏洞已知,病毒防御软件能够检测到并阻止。
5.基于ISAPI的安全产品
此类产品截取URL请求,过滤掉可能的攻击,如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品。
反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改,响应将不匹配原始的已知的正常响应,这样能够检测出未经授权的网站更改。
6.入侵检测与防御
入侵检测系统(IDS)一般用于入侵的后期处理,因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为。
7.漏洞扫描软件
管理员应运行漏洞扫描程序定期来测试Web服务器的安全性,因为假如扫描仪发现了安全漏洞,攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web,有些是硬件程序,剩下的是纯软件。
8.输入验证
输入验证产品检查提交到Web站点每个数据是否存在异常、SQL注入命令或缓冲区溢出攻击代码。
9.安全日志
安全日志可以提供Web服务器攻击入侵的证据。除了存放在在 Web 服务器上,还应该将它们存储网络上安全的位置以防止攻击者更改日志或删除记录。
原文:http://www.secbox.cn/hacker/web/6812.html
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) |
Powered by Discuz! 6.0.0 |