【拯救趙明】全面防護網絡***

一、情景
      “趙明！網站怎麼又被***了？！”
      “趙明！你到底怎麼搞的？！怎麼又斷線了？！”
      “趙明！你知道我們又損失多少嗎？！”
       做爲網站維護人員，你是否也經歷了與趙明一樣的無奈呢？
***對網站的影響有這麼大，那麼我們只有瞭解各種***才能做出相應的防護手段；減少不必要的損失，最大程度的減小損失。

       情景鏈接http://51ctoblog.blog.51cto.com/26414/300667
二、***原因
       首先我們要了解服務受***的原因，***爲什麼會採取多種形式進行不間斷或間歇性的***致使你的服務無法正常使用呢？
第一種是商業惡性競爭。同行之間的商業競爭由原來的價格戰、質量戰、售前、售中及售後服務之戰，發展到現在新增了互聯網信息安全之戰。對手利用***的手段使你的網站及其他服務無法正常使用，致使一些需要從網絡上尋求採購或合作的客戶轉到你對手的業務上去。嚴重的直接***到你的數據庫，竊得所有客戶資料，讓你損失慘重。如果是更改了與公司帳款有關的數據庫，那損失將無法估量。
       第二種是***利益驅動。現實生活中一些小混混好吃懶做，爲了不勞而獲，於是組成一個團伙去收保護費。在虛擬的網絡中也一樣，一些具有***技術，而得不到重用的人，利用技術手段向網站、視頻、遊戲等服務提供者索取保護費，否則就會採取***破壞等。
       第三種是竊取型，他們每天24小時不間斷利用工具掃描各種系統（網絡設備、安全設備、操作系統、應用軟件、數據庫等）的漏洞或最易攻破的地方下手。竊取及修改數據，在無交易的情況下，***們改成有了交易，從而非法獲利。
三、***類型
3.1  DDOS***
       DDOS是英文Distributed Denial of Service的縮寫，意即“分佈式拒絕服務”，那麼什麼又是拒絕服務（Denial of Service）呢？可以這麼理解，凡是能導致合法用戶不能夠訪問正常網絡服務的行爲都算是拒絕服務***。也就是說拒絕服務***的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成***者不可告人的目的。雖然同樣是拒絕服務***，但是DDOS和DOS還是有所不同，DDOS的***策略側重於通過很多“殭屍主機”（被***者***過或可間接利用的主機）向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分佈式拒絕服務***一旦被實施，***網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源，因此，拒絕服務***又被稱之爲“洪水式***”，常見的DDOS***手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 、FRAG、 NonIP、 NewTCP、NewUDP等；而DOS則側重於通過對主機特定漏洞的利用***導致網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能，從而造成拒絕服務，常見的DOS***手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務***而言，危害較大的主要是DDOS***。由於DDOS***都帶有大流量，容易造成網絡阻塞直至斷網。
3.2  CC***
       利用大量代理服務器對目標計算機發起大量連接，導致目標服務器資源枯竭造成拒絕服務。
       CC***不在是針對具體的80端口的一種方式，各端口和服務都是CC***的目標，有時一個端口就有上百萬個非法連接，造成服務器資源即刻枯竭，甚至整個網絡中斷。
       新型的CC***不僅是連接數的資源耗盡，發展到現在的連接數和帶寬同時***的情況也時有發生。這種***類型的防護也是很頭痛的事。
3.3  漏洞***
       不管是什麼操作系統，都會有它的系統漏洞，漏洞爲***們留下了很好的入門口，讓***們出入自如。
應用軟件的漏洞一直以來有很大一部分人不會重視，這其實更是***下手的好地方。
       數據庫的漏洞那更是可怕至極，***們會感謝你爲他保留了這個後門。
3.4  網絡設備***
       網絡設備的安全在一些小企業裏也是常常被遺忘的，如果一個網絡設備都被***了，那麼你的任何信息都是向***者公開的。他想獲得你們企業網絡內的資料就像在自家腰包裏取錢一樣方便，要是沒有利用價值了，他可以隨時毀滅你的網絡等。
3.5  網頁掛馬
       ***們經常利用各種手段，使你的網頁掛馬，輕則被插入非法廣告，重則整個網站被破壞。
3.6  arp、IP欺騙
       由於局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以僞造出來的網關或主機的MAC地址，可以使正常的數據被欺騙到被植入了arp***主機上，致使合法的數據被非法接收等，直接導致合法主機網絡無法正常使用及各種帳號密碼安全得不到保障。僞造網關MAC、僞造主機的ip及MAC等。
3.7  內部管理不規範
       內部員工的網絡行爲管理在很多企業往往都被忽視，網絡行爲的不規範很容易爲企業網絡帶來毀滅性的打擊。
四、網絡架構
       瞭解了***者的目的和手段、方式，那麼接下來我們就應該來佈防了，首先來佈置網絡結構。根據以上情況，我們作如下網絡佈置。
                                   網絡架構A（適合較大型網絡）
 

       網絡架構A佈置原因：本架構適合較大型企業，由於較大型企業的網站訪問量較大，爲保證網絡的暢通性、可用性、穩定性，如果與互聯網連接的設備採用PC架構加三塊網卡，其穩定性和可用性等無法滿足使用要求，如果換成帶三塊以上網卡且穩定性好的服務器，其性價比不如專業的硬件防火牆；所以在此選擇硬件防火牆。硬件防火牆具有自動檢測***和阻斷***，加上監控機的流量監控、流量異常報警、上網行爲管理等功能，完全滿足大型企業網絡安全。
                                    網絡結構B（適合小型網絡）
 

       網絡架構B佈置原因：本架構適合小型企業，由於小型企業的網站訪問量較小，與互聯網連接的設備採用PC架構加三塊網卡，其穩定性和可用性等基本滿足使用要求，PC採用RouterOS網絡操作系統。
五、全方位防護
       根據網絡架構，下面分別分析。
網絡架構A完全防護
5.1  硬件防火牆設置
       硬件防火牆選購具有成熟防ddos、cc***的專業防火牆。知名品牌都提供防火牆的詳細操作培訓和及時的售後服務。
       a. 建立訪問控制列表，只允許指定的IP可以telnet、snmp、web連接。
       b. 制定嚴格的***防禦策略，實時調整TCP、UDP等協議的防護規則。
       c. 設置防火牆報警器的報警觸發條件、閥值及報警方式，這樣能及時的得到故障信息。
       WEB的管理界面，讓你輕鬆操作和管理網絡，下面是某防火牆的設置界面：
       ***防禦策略：

       可根據實際使用開啓防護規則設置：

　　TCP端口保護，讓你的服務得到保障：

　　UDP端口保護讓你的視頻、FTP等服務完美服務：

　　靈活的報警接收方式，讓你隨時隨地掌握網絡情況：

5.2  交換機安全
       a. 建立訪問控制列表，只允許指定的IP可以telnet連接、snmp設置爲只讀，關閉web服務。
H3C、華爲設備：
       先做訪問控制列表指定具體IP可以訪問
       [H3C]acl number 2200
       [H3C-acl-basic-2200] rule 1 permit source 221.15.77.3 0
       [H3C-acl-basic-2200]rule 2 permit source 221.16.68.40 0
       [H3C-acl-basic-2200]rule 50 deny
       應用訪問控制列表共同體名爲kkk並只有只讀的權限
       [H3C]snmp-agent community read kkk acl 2200
       關閉web服務
       [H3C] undo ip http enable 或ip http shutdown
思科設備：
       指定可讀snmp 的IP
       C3524(config)#snmp-server host 221.15.77.3 version 2c kkk
       關閉web服務
       C3524(config)#no ip http server
       b. 建立訪問日誌服務器，定期或不定期的巡檢，及時發現非法用戶的登陸。
       指定日誌服務器：
       [H3C] info-center loghost 221.15.77.3 
       C3524(config)#logging 221.15.77.3
       c. MAC、端口、IP綁定，使用arp僞裝無法影響你的網絡。
H3C設備：
       綁定IP、MAC、端口、VLAN2000
       [H3C] arp static 221.15.77.3 001f-d089-7518 2000 GigabitEthernet 1/0/20
思科設備：
       綁定IP、MAC、VLAN2000
       C3524(config)#arp 221.15.77.3 000f.e267.af22 snap vlan 2000
       d. 關閉不必要的服務（如dhcp）。
H3C設備：
       [H3C] undo dhcp enable
5.3  服務器安全
       服務器安全其實也很重要，首先我們要經常打好系統漏洞補丁，不要認爲打好一次補丁就萬事大吉，無任是Windows操作系統還是Linux系統都會隨時有新的漏洞出現，所以作爲一個網管員，任何時候都馬虎不得。
然後我們要關閉不使用的端口，對於系統保留的端口則利用安全策略組防止內、外網對系統的135、139等一些端口的掃描。
       除了服務器系統的漏洞補丁要及時安裝外，可別小看應用軟件的漏洞哦，有很多***就是利用人們不會注意的軟件漏洞，採取***的。所以及時的更新應用軟件與系統的安全一樣重要。
       當然別忘了裝上殺毒軟件，可千萬要裝網絡版的哦，因爲病毒在不斷的產生，你的殺毒軟件的病毒庫如果跟不上新的病毒特徵，那麼你的系統是無法保證安全的。
       對於Linux系統來說相對Windows系統要安全些，但我們也不能大意，利用Linux系統的iptables 可以有效的保護好系統的安全。
5.4  web安全
       1. 不要將IIS安裝在系統分區上。2. 修改IIS的安裝默認路徑。 3. 打上IIS的最新補丁。
刪除不必要的虛擬目錄 IIS安裝完成後在wwwroot下默認生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什麼實際的作用，可直接刪除。
       刪除危險的IIS組件默認安裝後的有些IIS組件可能會造成安全威脅爲IIS中的文件分類設置權限 除了在操作系統裏爲IIS的文件設置必要的權限外，還要在IIS管理器中爲它們設置權限。一個好的設置策略是：爲Web 站點上不同類型的文件都建立目錄，然後給它們分配適當權限。例如：靜態文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執行、拒絕寫和讀取，EXE等可執行程序允許執行、拒絕讀寫。

       限制單位時間內同一請求IP的併發連接數也不失爲一種好的辦法。
5.5  數據庫安全
       1、使用安全的密碼策略。
       2、使用安全的帳號策略。
       做好日誌記錄，對於管理員的帳號和密碼要保管好。

5.6 上網行爲管理
       企業內部上網行爲必須制訂嚴格管理制度並認真執行。要求員工不打開陌生郵件，不瀏覽不熟習的網頁，不隨意拷貝數據到移動介質上。不可用即時通訊工具傳送資料。
5.7  物理安全及備份
       對於任何設備都要做好帳號及密碼的管理、物理安全的管理、UPS電源的使用，以保證網絡的可用性、持續性。
數據的備份是必須的，當網絡或服務中斷時多少時間能恢復、損失會有多大，這些都要有個統一的計劃和方法。
5.8  監控機設置
       監控機可以架設日誌服務器、上網行爲管理、流量管理、流量異常報警等。
網絡架構B完全防護
       網絡架構B大部分的設置與A架構相同，只有負載均衡服務器設置採用RouterOS網絡操作系統，本系統的優點是可以靈活多樣的設置：防火牆、路由、NAT、負載均衡達到企業應用的要求。由於本架構只適用於小規模的網絡，在此不一一詳解。