我們舉一個(gè)例子來(lái)說(shuō)，聯(lián)系人名單和電子郵件地址也是非常有用的情報(bào)。大多數(shù)組織都會(huì)使用其員工姓名的某種變體作為他們的用戶名和電子郵件地址(比如說(shuō)，趙明的用戶名往往會(huì)是“zhaoming”、“zhaom”或“zm”，而他的電子郵件地址則往往會(huì)是zhaoming@company.com或類似的東西)。如果能夠設(shè)法弄到某個(gè)組織里的一個(gè)用戶名或電子郵件地址，我們就可以相當(dāng)準(zhǔn)確地把很多用戶的用戶名和電子郵件地址推測(cè)出來(lái)。在我們稍后嘗試獲得系統(tǒng)資源的訪問(wèn)權(quán)限時(shí)，一個(gè)合法的用戶名將非常有用，這很有可能造成網(wǎng)站管理賬戶的密碼被“暴力破解”!

那么如何防止運(yùn)維人員和公司內(nèi)部普通用戶將私有信息泄露出去，成為黑客踩點(diǎn)階段的美餐呢?我們希望趙明通過(guò)一定的技術(shù)或管理手段，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或意外流出。那么在管理上，趙明可以借鑒更多的教育手段來(lái)提升普通用戶將信息丟到外網(wǎng)上去，而技術(shù)手段上則需要“數(shù)據(jù)泄漏防護(hù)”(Data leakage prevention, DLP)，產(chǎn)品的支撐。

通過(guò)趙明公司網(wǎng)絡(luò)和應(yīng)用結(jié)構(gòu)圖的分析，我們可以發(fā)現(xiàn)，這些敏感數(shù)據(jù)通常存放在文件服務(wù)器上，普通的用戶通過(guò)自己的終端進(jìn)行訪問(wèn)。而用戶周邊的打印機(jī)、可移動(dòng)存儲(chǔ)設(shè)備、攝像頭、調(diào)制解調(diào)器和無(wú)線網(wǎng)絡(luò)也是潛在的本地?cái)?shù)據(jù)泄漏源，趙明可以通過(guò)在用戶的終端上部署基于主機(jī)的數(shù)據(jù)泄漏防御方案來(lái)進(jìn)行控制。而終端用戶和Internet進(jìn)行的通訊，尤其是最常見(jiàn)的E-mail、FTP、HTTP和即時(shí)通訊也是常見(jiàn)的網(wǎng)絡(luò)數(shù)據(jù)泄漏源，在這種場(chǎng)合就需要在內(nèi)部網(wǎng)絡(luò)和Internet連接的出口處部署基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案進(jìn)行控制。

部署傳統(tǒng)防火墻，防范數(shù)據(jù)庫(kù)暴露

如果說(shuō)踩點(diǎn)相當(dāng)于尋找并偵察情報(bào)中心的話，掃描就是在逐寸敲打墻壁以期找出所有門(mén)窗了。黑客通過(guò)踩點(diǎn)獲得了很多有價(jià)值的信息，包括員工們的姓名和電話號(hào)碼、IP地址范圍、DNS服務(wù)器、Web服務(wù)器、論壇的賬戶信息、通過(guò)員工個(gè)人文檔以及郵件內(nèi)容獲得的種種信息。他們將利用各種工具和技巧??比如 ping掃描、端口掃描以及各種自動(dòng)發(fā)現(xiàn)工具??去確定在目標(biāo)網(wǎng)絡(luò)里都有哪些系統(tǒng)正在監(jiān)聽(tīng)外來(lái)的網(wǎng)絡(luò)通信(或者說(shuō)是真實(shí)存在的)，以及都有哪些系統(tǒng)可以從因特網(wǎng)直接進(jìn)行訪問(wèn)。

從基于Web主機(jī)的角度，各種服務(wù)器自身內(nèi)置的實(shí)用工具都可以監(jiān)測(cè)到ping或者掃描活動(dòng)并把它們記載到日志文件里去。如果你們?cè)诓榭从嘘P(guān)日志時(shí)發(fā)現(xiàn)來(lái)自某個(gè)系統(tǒng)或網(wǎng)絡(luò)的ICMP ECHO數(shù)據(jù)包是某種可疑的模式，那可能代表著有人正在對(duì)你們的站點(diǎn)進(jìn)行網(wǎng)絡(luò)偵察。希望趙明要密切留意這類活動(dòng)，它往往預(yù)示著一次全面的攻擊已迫在眉睫。另外，有許多種商業(yè)化的網(wǎng)絡(luò)和桌面防火墻工具(Cisco、Check Point、Microsoft、McAfee、Symantec和ISS等公司都能提供)可以監(jiān)測(cè)到ICMP、TCP和UDP ping掃描活動(dòng)。

但存在可以監(jiān)測(cè)ping掃描活動(dòng)的技術(shù)，并不意味著有人在密切監(jiān)測(cè)著這類活動(dòng)。所以最好的方式是在Web主機(jī)前部屬防火墻，以防止這種掃描接觸到真實(shí)的主機(jī)。包過(guò)濾技術(shù)(Packet Filter)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過(guò)設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制與操作。包過(guò)濾操作通常在選擇路由的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。用戶可以設(shè)定一系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò);哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被丟棄。那么這些規(guī)則就是以IP包信息為基礎(chǔ)，對(duì)IP包的源地址、 IP包的目的地址、封裝協(xié)議(TCP/UDP/ICMP/IP Tunnel)、端口號(hào)等進(jìn)行篩選。包過(guò)濾類型的防火墻要遵循的一條基本原則就是“最小特權(quán)原則”，即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

另外一種常見(jiàn)的掃描時(shí)“端口掃描”，黑客是主動(dòng)連接到目標(biāo)系統(tǒng)的TCP和UDP端口以確定在目標(biāo)系統(tǒng)上都有哪些服務(wù)正在運(yùn)行或處于 LISTENING(監(jiān)聽(tīng))狀態(tài)的過(guò)程。確定有哪些端口正處于監(jiān)聽(tīng)狀態(tài)是一個(gè)非常重要的攻擊步驟，攻擊者不僅可以了解到遠(yuǎn)程系統(tǒng)上都運(yùn)行著哪些服務(wù)，還可以準(zhǔn)確地探測(cè)出目標(biāo)系統(tǒng)所使用的操作系統(tǒng)和應(yīng)用程序的類型和版本。處于監(jiān)聽(tīng)狀態(tài)的活躍服務(wù)就像是你家的大門(mén)和窗戶??它們都是外人進(jìn)入你私人領(lǐng)地的通道。根據(jù)其具體類型(是“窗戶”還是“大門(mén)”)，這些通道有的會(huì)讓非授權(quán)用戶侵入各種配置不當(dāng)?shù)南到y(tǒng)。當(dāng)然我們也可以利用防火墻防止TCP SYN “半開(kāi)掃描”(half-open scanning)、FIN掃描、第三方掃描(“代理”或“肉雞”掃描)等等。

綜上所述，你可能以為我要部署一臺(tái)防火墻在Web服務(wù)器前面，當(dāng)然了，不過(guò)不要急，我們還要對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)呢?這就是內(nèi)網(wǎng)重新調(diào)整成為兩個(gè)區(qū)域：一個(gè)是辦公區(qū)域，將文件服務(wù)器和客戶端放在里面，另一個(gè)是數(shù)據(jù)區(qū)；并且將兩臺(tái)數(shù)據(jù)庫(kù)都放在防火墻的后面。

當(dāng)外部攻擊穿過(guò)外層防護(hù)機(jī)制進(jìn)入應(yīng)用服務(wù)區(qū)后，進(jìn)一步的侵入受到應(yīng)用層和核心層防護(hù)機(jī)制的制約。由于外層防護(hù)機(jī)制已經(jīng)檢測(cè)到入侵，并及時(shí)通知了管理員，當(dāng)黑客再次試圖進(jìn)入應(yīng)用區(qū)時(shí)，管理員可以監(jiān)控到黑客的行為，收集相關(guān)證據(jù)，并隨時(shí)切斷黑客的攻擊路徑，對(duì)于SQL服務(wù)器的保護(hù)機(jī)制是最完善的。

背對(duì)背防火墻(Back to Back Firewall )是一般大型企業(yè)所采用的架構(gòu)，運(yùn)用兩段防火墻分隔出內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)、外部網(wǎng)絡(luò)。所分隔出的DMZ區(qū)專門(mén)放置對(duì)外提供服務(wù)的服務(wù)器，利用不同的網(wǎng)段與內(nèi)部防火墻，將內(nèi)部使用的服務(wù)器分隔開(kāi)，大大降低對(duì)外服務(wù)器如Web、SMTP Relay服務(wù)器被攻破后，對(duì)內(nèi)部網(wǎng)絡(luò)產(chǎn)生的危害。
部署Web防火墻，在應(yīng)用層做到深度檢測(cè)

然而，傳統(tǒng)的防火墻無(wú)法偵測(cè)很多應(yīng)用層的攻擊，如果一個(gè)攻擊隱藏在合法的數(shù)據(jù)包中(HTTP訪問(wèn))，它仍然能通過(guò)防火墻到達(dá)應(yīng)用服務(wù)器;同樣，如果某個(gè)攻擊進(jìn)行了加密或編碼該防火墻也不能檢測(cè)。

針對(duì)傳統(tǒng)防火墻的弊端，Web 應(yīng)用防火墻逐漸在中小企業(yè)和Web服務(wù)托管環(huán)境中廣泛應(yīng)用，它包括兩個(gè)關(guān)鍵功能：即對(duì)HTTP/HTTPS 協(xié)議的實(shí)時(shí)監(jiān)測(cè)，HTTP往返流量都能夠?qū)ζ湫袨闋顟B(tài)進(jìn)行判斷，在攻擊到達(dá)Web 服務(wù)器之前進(jìn)行阻斷，防止惡意的請(qǐng)求或內(nèi)置非法程序的請(qǐng)求訪問(wèn)目標(biāo)應(yīng)用。

另外，我建議趙明選擇更先進(jìn)的Web防火墻，例如攜帶網(wǎng)頁(yè)防篡模塊，這可以 通過(guò)內(nèi)置自學(xué)習(xí)功能獲取WEB 站點(diǎn)的頁(yè)面信息，對(duì)整個(gè)站點(diǎn)進(jìn)行“爬行”，爬行后根據(jù)設(shè)置的文件類型(如html、css、xml、jpeg、png、gif、pdf、word、 flash、excel、zip 等類型)進(jìn)行緩存，并生成唯一的數(shù)字水印，然后進(jìn)入保護(hù)模式提供防篡改保護(hù)，當(dāng)客戶端請(qǐng)求頁(yè)面與WAF 自學(xué)習(xí)保護(hù)的頁(yè)面進(jìn)行比較，如檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行實(shí)時(shí)告警，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶可正常訪問(wèn)網(wǎng)站。當(dāng)然，事后可對(duì)原始文件及篡改后的文件進(jìn)行本地下載比較，查看篡改記錄，這對(duì)于趙明來(lái)說(shuō)，就是在現(xiàn)在的網(wǎng)站結(jié)構(gòu)中安插一個(gè)24小時(shí)的哨兵。

提示：在配置Web防火墻時(shí)，配置的策略下包含了HTTP 協(xié)議合規(guī)性、SQL 注入阻斷、跨站點(diǎn)腳本攻擊防護(hù)、表單、ookie 篡改防護(hù)、DoS 攻擊防護(hù)等，這是傳統(tǒng)防火墻從來(lái)就沒(méi)有涉及的領(lǐng)域。

添加設(shè)備修改網(wǎng)絡(luò)結(jié)構(gòu)

通過(guò)上述分析，我們需要對(duì)趙明的網(wǎng)站結(jié)構(gòu)中添加三個(gè)設(shè)備，即：Web防火墻、數(shù)據(jù)泄漏產(chǎn)品和傳統(tǒng)的內(nèi)網(wǎng)高速防火墻。這三個(gè)產(chǎn)品并分別存放在：Web 服務(wù)器前端，交換機(jī)后面的數(shù)據(jù)庫(kù)區(qū)域(背對(duì)背防火墻，防止數(shù)據(jù)庫(kù)直接暴露)，以及文件服務(wù)器和內(nèi)網(wǎng)客戶端上部署數(shù)據(jù)泄漏產(chǎn)品。

我們選擇了市面上占有率較高的產(chǎn)品作為實(shí)例：
◆華為Eudemon 300 千兆防火墻
◆明御Web 應(yīng)用防火墻
◆Websense Content Protection Suite防數(shù)據(jù)泄露

wangliang