网络安全与网站防护解决方案

楼主^#

更多发布于：2010-11-26 16:00

[] 1


	1 概述根据CNCERT/CC（国家互联网应急中心）的2月份发布的统计报告，2009年1月1日至31日，我国大陆地区被篡改网站的数量为3792个，较2008年12月的1693个增长了124%，其中代号为“<xsa<x”和“By_Tuncayov”的攻击者对大陆网站进行了大量的篡改。我国香港被篡改网站数量为36个，较上月增长了18个，我国台湾地区被篡改网站数量为16个，较上月减小了8个。如果上面的数据，表达不了网站被攻击的严重性，那么， CNCERT/CC的2008年7月份的统计报告很说明问题，大约平均每5个政府网站，就有一个网站被黑！而且，近年来，网站被篡改的数目仍然以每年2～3倍的速度在不断递增。根据这些材料可以知道，网站被篡改、被攻击的数量是非常大的，并且递增的数目也是比较快的。 A市政府网站，在近期被黑客篡改页面的情况多有发生，即影响了政府形象，也给广大市民带来不便。怎样对政府网站进行安全防护，是市政府信息中心所面临的首要任务。同时，政府现在有300多台计算机上网，虽然有网通、电信宽带接入互联网，但由于各种问题，终端上网速度很多，每天网络中断两、三次，只能重新启动交换机、路由器才能重新上网，但过几个小时，问题会再次出现，单位网络办公的环境也需要改造。信息中心要求，在不改变现有网站的维护方式的前提下，对网站进行安全防护，防止网站再次被黑；在不改变现有上网设置的情况下，改变整个网络的上网环境、避免再次出现整个网络瘫痪。经过实地考察，并与信息中心沟通，决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003，对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5，配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡；另一台服务器采用华硕TS700-E4，配置16GB内存、1个4核intel处理器、6块SAS硬盘（其中5块硬盘做RAID5、1块硬盘备用）、集成双千兆网卡、双电源。 2 政府网络现状与用户需求 A市信息中心是正科级全额拨款事业单位，挂靠A市政府办公室，负责全市信息化建设的规划、指导和组织工作，主要承担全市电子政务的建设和管理工作。目前，A市信息中心的内网上接市委、市政府，下联市直80多个部门、10多个乡镇、经济技术开发区。为方便市领导上互联网的需要，信息中心还向网通、电信各申请了20M互联网带宽，通过双WAN口路由器，实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作，每个部门都建立了自己的局域网，全市办公内网的微机保有量约2000台以上，A市的信息化应用水平在石家庄市各县市区中一直名列前茅。目前，A市政府信息化应用水平较高，有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统，这些系统分别运行在机房的多台服务器上。这些服务器，有的是一些品牌机服务器，有些是组装的服务器，配置比较低、没有提供数据的冗余与备份功能，从长远角度来看，存在安全隐患。从今年开始，政府网站被黑客篡改首页多次，并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后，只能通过备份恢复，有的黑客向网页中嵌入广告代码，信息中心人员只能一个一个网页检查、然后删除这些广告代码，给政府网站对外宣传带来了负面影响，也给信息中心人员的管理人员带来了压力。同时，随着近几年来，网上办公的兴起，政府楼内接入网络的计算机越来越多，另外，随着职工使用计算机水平的提高，管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏，占用了网络带宽，导致上网越来越慢。在每天上网高峰的时期（上午10点半左右、下午3点左右），网络缓慢的几近打不开网页，只能通过重新启动交换机、双WAN口路由器的方式，恢复网络连接。另外，当每次大规模的病毒爆发时，例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒，都会导致整个网络瘫痪。市政府信息中心对外面临政府网站被黑客攻击、修改页面，对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力，可以说，整个网络安全状态已经到了不得不改的情况。政府信息中心的需求主要包括以下几个方面： ü 保护政府网站不被黑客入侵。 ü 解决局域网上网速度慢的问题。 ü 解决整个网络经常感染木马、病毒的问题。 ü 减轻信息中心人员负担。 3 方案设计在方案设计之前，需要详细的了解现有网络的状况。经过信息中心人员进行介绍，并经过实际考察，画出A市政府现有网络的拓扑图，如图1所示。图1 A市政府网络拓扑 A市政府各有20M光纤分别接电信、网通（现联通）访问internet，这两条光纤通过“光纤收发器”转成RJ45网线，接在一个双WAN口的路由器上，用做代理服务器。该双WAN口路由器LAN口接到三层交换机上，三层交换机划分了多个VLAN，每个楼层属于一个VLAN，并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上，直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址（192.168.1.8），Internet上的用户通过政府网站域名www.xx.gov.cn访问，政府内的人员都是直接使用IP地址192.168.1.8访问政府网站，信息中心工作人员是使用192.168.1.8来访问与维护网站、更新网站内容。 3.1 网站频繁被黑的原因与解决对策经过分析，发现网站频繁被黑的原因可能如下： ü 操作系统漏洞：网站服务器的操作系统是Windows 2000 Server，虽然现在Windows Server 2008已经发布，Windows Server 2003应用也很成熟，但由于各种原因，服务器操作系统一直没有升级，另外，也没有及时的更新各种补丁。 ü 数据库漏洞：数据库使用的是SQL Server 2000，同样，也没有打补丁。 ü 网站代码漏洞：政府网站，是由信息中心的人员，在2001年左右，在网上下载的代码的基础上，修改成的。由于开始的时候，网站被攻击的事情很少发生，所以，信息中心的人员忽视了这方面的情况。这些网站代码中，存在SQL Server注入漏洞、文件上传漏洞、Shell漏洞等，而后台管理密码也是比较简单。针对网站被黑的原因后，首先提出如下的解决方法： ü 及时更新操作系统补丁与数据库的补丁。 ü 升级操作系统与数据库：由于Microsoft已经不对Windows 2000与SQL Server提供支持，建议将将Windows 2000 Server升级到Windows Server 2003，将SQL Server 2000升级到SQL Server 2005。 ü 修改网站代码，避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。虽然知道需要修改网站代码防止网站被黑，但实际上，政府网站已经使用多年，短期内对政府网站做大的修改不容易实现，只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点，决定采用如下的技术措施：将政府网站分成两个相同的站点，一个站点用于对外发布，供市民、网民通过Internet浏览、查看内容，另一个网站专门用于信息中心人员维护，该网站只能通过内网访问，这两个网站使用同一个数据库。而发布到Internet上的网站，其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库，而用于内网维护的网站，其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外，在双WAN口路由器与三层交换机之间，增加一级代理服务器，采用ISA Server做软件防火墙与代理服务器，用ISA Server的“签名”等功能，通过过滤关键字的功能，防止文件上传漏洞、Shell漏洞等。 3.2 内网速度慢的原因与解决方法对于局域网内，计算机速度慢、网络速度慢、经常感染病毒等问题，简单来说，如果升级计算机的配置、增加出口带宽的速度，是可以解决问题。但是，这些都是不现实的，另外，这也不是解决问题的根本方法，即使用这种方法解决了现在的问题，但过段时间，同样的问题仍然会继续。在用户现场，经过进一步分析、调查与判断，得到如下的结果：（1）内存不足导致运行缓慢。大多数的计算机内存都比较小，主要是256MB内存。而杀毒软件，大多数用户使用的是“瑞星”，不可否认，瑞星杀毒软件占的资源比较大，在现在主流操作系统是Windows XP SP2的情况下，安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件，与常用的办公软件，例如Office、WPS后，系统内存占用的资源已经到了170多MB，在打开网页时，由于现在网页中图片、广告很大，IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存，当主机内存不够的情况下，会使用硬盘空间作为交换分区（虚拟内存），这样就造成了计算机速度变慢。（2）病毒占用系统资源。许多计算机没有打“补丁”，在浏览一些网页时，感染了木马或蠕虫病毒，有的计算机感染了ARP病毒，所以在计算机启动的时候，这些木马或蠕虫，试图通过网络感染给其他计算机、或者试图连接广告站点，占用了系统资源，这是计算机启动慢、反应慢的最主要原因。（3）带宽被占拖慢网速。单位提供4MB带宽，本来是为单位上网（浏览网页）、收发邮件等正常办公使用，但近一两年来，许多用户使用计算机“水平”越来越高，一些员工在工作时间看在线视频，或者玩游戏，使用讯雷或BT下载电影，占用了大量的网络带宽，而双WAN口路由器没有流量监控与流量控制功能。经过实际测试，在看“新华网”的在线视频时，单一视频流就会占用800KB以上的带宽，理论上讲，只要单位中有20个人看新华网的在线视频，就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。对上述这些情况，可以通过打补丁、更新杀毒软件等方法解决，主要内容如下：（1）使用微软免费产品WSUS 使用Microsoft提供的专门用于企业用户的升级服务器-WSUS，统一为网络中的计算机“打”补丁。采用WSUS，将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁，即提高了更新补丁的速度，又节省了出口带宽。例如，Windows XP SP3补丁大约300MB，如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级，以100台工作站为例计算，需要下载300MB×100＝30GB，而采用WSUS，只需要WSUS从Microsoft升级服务器下载300MB补丁，其他工作站直接从WSUS即可获得补丁。（2）使用ISA Server禁止无序下载、限制每台计算机的并发连接数量在双WAN口路由器与三层交换机之间，增加ISA Server防火墙与代理服务器，使用ISA Server，禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频，并限制每个计算机的并发连接数量。（3）采用占用资源较小的杀毒软件网络版杀毒软件太贵，可以购买支持局域网升级的杀毒软件，例如以前的金山毒霸、江民，现在的NOD32、卡巴斯基。考虑到客户端计算机配置比较低，可以选择占用资源比较低的NOD32。这样，改进后的网络拓扑如图2所示。图2 配置防火墙与升级服务器 3.3 最终方案在确定了网站防防护、内网安全与改造方案后，对这两个方案进行综合考虑，同时，考虑到原来的网站与OA服务器，已经使用多年，也到了升级的时候，而WSUS与NOD32服务器占用的资源并不是很多，单独放置在新买的服务器中，对服务器的资源是一种浪费。经过多方面分析，我们推荐如下的综合解决方案：（1）购置一台高配置的、具有磁盘冗余的服务器，采用虚拟化技术，在一台服务器上实现两台虚拟机，其中一台虚拟机放置政府网站与OA网站，另一台虚拟机放置WSUS升级服务器与NOD32服务器。（2）配置一台多网卡的、安全稳定的服务器，添加在双WAN口路由器与三层交换机之间，安装ISA Server 2006软件，做防火墙与代理服务器。（3）修改双WAN口路由器的LAN端口地址，改为192.168.200.1，而原来的192.168.250.1用在新的ISA Server服务器接三层交换机的网卡上，ISA Server服务器接双WAN口路由器的网卡设置IP地址192.168.200.2/24。在双WAN口路由器上，设置TCP协议80端口转发给192.168.200.2，再由ISA Server转发到政府网站服务器192.168.1.8。（4）网络中的所有工作站，配置使用局域网内的WSUS服务器进行补丁的升级，统一卸载以前的杀毒软件，改为统一使用NOD32，并指定从信息中心NOD32服务器进行升级。（5）在ISA Server上发布政府网站，并对网站进行保护。（6）迁移网站到虚拟机1中，并将网站分成用于Internet发布的外网网站、用于内网管理的网站。在方案实施中将详细介绍每一个细节。如图3所示，这是网络最终的拓扑。图3 A市政府网络安全改造方案拓扑图 3.4 方案特色由于选择了高配置的华硕服务器，以及使用VMware ESX Server虚拟化产品，以后再需要其他服务器时，不需要再购置新的硬件，只需要在VMware ESX Server中创建新的虚拟机即可以满足应用。在本次方案中，配置的华硕TS-700高配置服务器，可以同时运行8～16台虚拟机，足可以满足现在以及将来一段时间的需求。同时，在采用虚拟化技术后，减少了服务器的购置需求，并减少了服务器在以后运行中的耗电，近一步降低了产品的使用费用，符合绿色环保、节能的需求。 6 方案实施在硬件、软件到位后，开始对A市政府网络进行改造，在改造的过程中，会中断网络，为了不影响大家工作，建议在休息时间，例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试，大约需要1天的时间。方案的实施步骤如下： 6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版，并接在双WAN口路由器与三层交换机之间，相当于在整个网络中，增加一个“软件”防火墙，然后修改配置双WAN口路由器的配置，并转发TCP的80端口到ISA Server，再由ISA Server转发到政府网站服务器。主要步骤如下：（1）安装32位的Windows Server 2003企业版，在安装的过程中，将硬盘划分为3个分区。分区按照2：3：2的比例。安装系统后，安装驱动程序。（2）配置双WAN口路由器，将LAN口的IP地址由192.168.250.1修改为192.168.200.1/24，并转发TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的静态路由，指向192.168.200.2。（3）将服务器接入网络，其中一块网卡接到双WAN口路由器的LAN口（代替原来接三层交换机的端口），设置这块网卡的名称为“Internet”，设置IP地址为192.168.200.2/28，网关地址为192.168.200.1。设置另一块的地址为192.168.250.1/24（不设置网关地址），将这块网卡连接到三层交换机原来接双WAN口路由器的端口，命名这块网卡为LAN。配置好后，使用ping命令，检查网络的连接是否正确，无误之后，在命令提示符下键入如下的命令，以增加到192.168.0.0～192.168.63.0/24的路由： route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2 （4）安装ISA Server 2006，并将ISA Server 2006安装在第2分区。安装完成后，配置ISA Server 2006，其内网地址是192.168.0.0～192.168.63.0/24、192.168.250.0/24、192.168.200.0/24网段。（5）配置ISA Server 2006，允许“内网”访问“外网”，此时，局域网内的计算机应该可以访问外网。