【264期门诊集锦】共谈Web应用安全防护整合之道
本期门诊特邀F5网络公司吴静涛先生来与大家一起交流WEB应用安全问题,以及应用安全产品和解决方案部署过程中需要注意的事项。
查看本期门诊精彩实录:http://doctor.51cto.com/develop-278.html
精选本期网友提问与专家解答,以供网友学习参考。
Q:老师您好,想问一下,像小公司的服务器,怎么做好安全防护呢?就是一个公司只有一台服务器,没有多少资金投入安全维护的,公司个人方面能采取哪些主动措施呢?
A: 在开源的Linux系统上,实际已经有很多的手段实现安全防护,只要有持续的研究,也能在较小的采购投入的情况下取得较好的安全防护效果。对于小公司而言,可能比较好的方法是采用安全外包方式,另外采取一些制度甚至是法律方式来进行保护。
另外,采取一些技术手段如数据备份、定期检查等方式,也可以在出现安全事故的时候迅速恢复服务。
Q: 老师您好:
由于考虑到成本的原因,一些公司会选用NGINX、keepalived 、lvs等工具来代替F5的功能。希望您跟据此来讲讲这样做对企业的利弊。还有怎么去看待由此带来的费用节约的情况。
另外一直想学习使用F5,请问有没有什么好的方法。因为知道F5成本有点高,对于我们刚入门的人员,应该如何去了解呢?
A: 这种做法并不少见。
其实这里面的关键还是在于后台的应用的重要程度。
如果是一个很重要的业务系统的话,我们还是会建议由F5这一类的专业的解决方案供应商来帮助用户解决应用交付的各个环节的问题,保障客户的重要业务系统的正常服务。那么NGINX等这些开源的软件在功能的丰富性,本身的可靠性上都是存在着不足,都会影响后台业务系统的正常服务。
如果只是一些不太重要的系统,比如内网简单的信息发布平台这些,可以考虑使用LVS等开源软件来做。
使用免费的开源软件,看起来会节省一些费用,但从长远来看,并不真正是这样。举一个最简单的例子,如果开源的LVS用起来出了问题,客户是需要自己解决的,那么这就需要客户本身对LVS有很深的理解,否则的话,带来的业务停机的这种隐形的损失是非常大的。
F5目前有很多网上的教学资料,还有很多论坛,比如www.adntech.com,我们也会定期的去这些地方发布一些新的技术资料。
Q: 网络挂马的是通过什么获得计算机信息的呢?一直都很郁闷
A: 主要是在网页上放置一些脚本或木马程序,受害用户在访问这些网页的时候,这些脚本或程序就会被自动执行,然后挂马者就可以控制受害者的电脑,然后就可以获取被受害者电脑的各种信息了。
所以,从防护端来说也有两个方面,一个是从服务器端,要进行防护,防止网页被挂马。(很多WAF都可以做到)
另一方面,从客户端,也要进行防护,防止未知的程序或脚本的运行。(很多杀毒软件都可以做到)
Q: 老师您好,如何确保网站架构的安全?每个网站的需求都不相同,哪些是必要的考虑点。
A: 网站架构的安全问题比较复杂,从网络安全到应用安全,其中还会有身份认证、权限管理、传输安全,合规性等多种考虑点,但无论哪种,都要从保护网站业务的角度考虑,同时对恶意攻击进行防护的同时,不以牺牲合法用户的用户体验为代价。
Q: 吴老师,你好!我想问下有关网站高流量压力下,如何利用应用交付网管进行瞬时流量处理,避免网络阻塞及服务器宕机!
A: 在应用交付的设备中,有很多中处理方式帮助网站应付高流量压力,常用的手段有:
1,带宽控制:通过对客户端上行流量或者服务器返回流量进行带宽控制,降低压力
2,缓存:在应用交付控制器上可以对静态内容或者部分伪动态内容进行缓存,直接从内存中返回给客户端,降低应用服务器和数据库压力。
3,队列:通过对请求进行排队处理,减小突发峰值带来的影响。
4,连接聚合:将多个客户端连接聚合成少数服务器端连接,降低服务器在进行TCP链接建立和关闭的开销。
5,SSL/compress Offload:把SSL加解密、压缩等大计算量的工作卸载到应用交付设备上的专业硬件芯片进行处理,降低服务器在这部分简单计算上的开销。
6,多中心/多链路并行:通过实现多链路、多中心的并行服务,来提供大流量、大压力下的整体服务能力。
7,动态资源调配:和后台服务器管理系统进行配合,在压力变化时动态增加和减小服务器的计算资源,实现资源的合理利用。
其他还有一些非常规的手段,可以通过iRules来对流量进行编程处理,或者通过iControl和服务器实现联动响应等多种方法,来保护网络带宽占用和服务器压力过大。
Q: 吴老师,你好:
我想问问,该怎么判断WEB应用防护产品的好坏?具体从哪些角度来分析呢?
还有,该如何判断一个网站存在哪些web安全隐患?
A: 现在的攻击类型层出不穷,每天都可能有新的攻击类型出现,因此,对于Web应用防护产品进行评价的时候可以有一些参考:
1,是否有足够的灵活性,对于一些最新出现的攻击也就是通常说的0day攻击,是否有手段可以在策略更新前进行防护。
2,对于目前关键业务采用HTTPS/SSL处理的情况下,是否有足够的能力和方便的方式对SSL流量进行处理。
3,在遭受DDoS攻击的时候,是否能快速区别出攻击者和正常访问者,尽可能的为正常访问者提供服务。
其他可能还有很多评价的方面,可以从网站的具体实际情况来确定需求。
对于如何判断一个网站存在哪些Web安全隐患这个题目太大,涉及到操作系统、Web服务器软件、应用服务器软件、程序代码、数据库安全等很多方面的问题。只能说从最简单快捷的方式是通过安全扫描软件或者服务进行扫描来进行快速判断。但这种方式有时候也会存在未能扫描到的地方,需要人工方式进行细致的验证。
Web安全永远不能说100%,只要对外提供服务,都有存在安全隐患的问题。
Q: 吴老师您好,很荣幸向您提一下我在WEB应用安全防护几个方面的问题:
1、作为传统的防火墙和入侵检测设备在网络安全防护方面的重要性方面和F5y应用交换网络的区别在哪些方面?
2、作为一个中型企业的服务器(大概有五六台服务器)在安全防护方面除了必要的补丁和杀毒软件防护之外还有没有其他的一些防护措施?
3、企业在制定安全防护措施或制度的时候需要重点考虑哪些方面?谢谢!
A: 1、F5的安全除了防护网络层协议攻击和网络层DDoS攻击以外,还可以防护诸如注入攻击,跨站脚本攻击,CC攻击,DNS欺骗等多种应用层攻击;同时F5的安全防护完全支持IPv6
2、根据服务器的服务类型,建议面向用户的服务器前端增加安全硬件进行防护,保证防护性能的同时避免网络层和应用层恶意攻击带来的恶略影响。
3、一切以保护业务的正常运行为出发点,合规性和等级保护是比较好的参考方案。