【拯救赵明】web防御综合解决方案

1. 原网络结构下的安全风险
不了解现状，不分析现状，不找到问题，就无从谈起方案整改（但是，为能让大家更快的看到后边的整改方案，这里对现状的描述与分析就免了）。
通过对现状的了解与分析，我们认为原网络结构存在的 主要网络安全风险如下：

1. 1)互联网接入边界，没有防护设备，互联网对应用服务器的访问不受任何访问控制与检测，容易遭受来自互联网的各种攻击，包括Dos/DDos、SQL注入等等；
2. 2)网络内部，没有将主/备应用服务器、数据库等进行独立保护，他们之间的网络互访没有任何限制；
3. 3)网络内部没有网络流量审计系统，对于来自互联网的访问，没有进行审计记录，无法追查任何恶意访问、攻击事件；
4. 4)内网网络、网站维护人员对应用系统、网络的维护操作没有日志记录，不便于内部监管和追查错误操作；
5. 5)缺乏统一的监控平台和报警机制。

此外，我们在播放的赵明视频中，还可以很容易的发现所存在的 管理问题：

1. 1)工作时间休息开小差――睡觉，即使有网络监控设备，也会因为没有技术人员的适当操作配合，而让入侵继续造成破坏；
2. 2)没有应急方案，发现入侵，只是愤慨，没有相应的应对操作流程。

2. 整改目标
针对上述存在的问题，我们可以很容易确定本次网络整改目标：

1. 提升整个网络、对外（互联网）应用服务器的抗攻击能力；
2. 实现对攻击事件、访问事件的实时监控能力；
3. 实现对内部人员维护网站、网络的日志监控能力，以及对内部维护人员使用计算机的监管能力；
4. 通过合理的网站备份，能及时恢复受攻击的网站；
5. 制定安全管理、安全运维、应急操作管理制度和流程。

3. 整改方案说明
3.1. 网络拓扑















3.2. 方案说明
安全区域划分
如图示，划分为主应用服务器区、备用服务器区、监管服务器区、维护终端区、互联网区等5个安全区域，安全区域划分后，可以很方便明确哪个区域容易遭受攻击，哪个区域需要重点保护等等，并且可以进一步在相应的区域间部署相应网络安全设备。
互联网防火墙部署
如图 ①所示，在互联网接入边界，部署作为基本网络边界防护措施的防火墙设备，实现端口级别的控制，通过对互联网开放仅用的端口（如web使用的TCP80端口等），降低到下一个设备的风险流量。这里的防火墙不是，其实就是一道门，实现进步的进出控制。
Web防火墙部署
如图 ②所示，部署web防火墙，实现对网站合法端口（如web应用80端口上的流量）上的各种攻击防护，如SQL注入攻击、跨站攻击等等，并记录网站访问行为，实时统计、监控相应的数据。
内网防火墙部署
如图 ③所示，部署内网区域隔离防火墙，对主应用服务器区、备用服务器区、监管服务器区和维护终端区之间的网络互访进行访问控制，阻断上述区域间的违规流量，控制可以对应用网站系统、数据库、监管设备、网络安全设备进行远程维护的计算机。
入侵检测系统部署
如图 ④所示，部署入侵检测系统，同时检测内网2个交换机的网络流量，对内部流量、互联网流量进行实时检测，及时发现透过web防火墙的入侵流量，并进行报警，必要时可以与互联网接入防火墙 ①实现安全联动，同时对可能来自内部的攻击流量进行实时检测，必要时可以和内网防火墙 ③进行安全联动。
桌面管理系统部署
如图 ⑤所示，部署内网桌面管理系统，实现对内网所有维护终端的管理，包括桌面终端的外存管理、网络访问管理、文件操作管理、安全接入管理（操作系统是否打齐补丁，是否存在漏洞等），以及网络访问、本地文件操作的日志记录等等，并进一步实现接入控制，对外来计算机接入内网网络实现自动阻断和报警功能。
日志监控系统（升级为SOC）部署
如图 ⑥所示，加强日志监控系统能力，建议升级为安全运维管理系统（SOC），实现对所有应用系统、网络设备、安全设备、网络管理设备日志的集中收集与分析监控能力，并可通过后台专家库、事件库等等，对各种日志实现关联分析能力，根据规则配置，对重要事件实现报警功能，进一步可通过配置短信网关系统，将报警与手机短信关联，实现24小时的报警联动。
系统加固
系统加固是网站安全建设中非常必要的一项，通过渗透测试，找到问题，然后进行系统、应用、数据库等自身的加固，甚至对网站代码进行安全审核和修改，这个部分主要是人工实现，这里不再详述。
另外，在费用运行的情况下，增加一套 漏洞扫描系统，供管理员自己对网络、应用系统进行定期对安全扫描，及时发现安全问题。

4. 方案效果说明
总体效果：整改后的方案，实现了安全区域划分和区域间访问的逻辑隔离，实现了互联网访问的双向控制与流量分析控制，特别是通过web防火墙，加强了对网站系统的保护，同时对于内网流量实现了实时监测，对内网维护终端计算机实现了集中监管和操作日志记录，最后还通过SCO进一步实现了日志、网络现状的集中监控平台的搭建，在安全运维上更上一层楼。

其他方面：“三份技术，七分管理”，是经常提起的一句话，原始情况也说明赵明的运维确实存在安全管理问题，所以建议赵明完善网络安全运维制度、应急响应操作规范等制度规范，不要再工作时间睡觉，不要再发现入侵时无所事事。（安全管理内容不是本方案要求，这里就不具体描述了）