【拯救趙明】命題作文,對症下藥給方案

拯救趙明 命題作文,對症下藥給方案

    拯救趙明的活動推出很久了,一直都有蠢蠢欲動的感覺,可是遲遲未動筆,一來最近確實比較忙,二來自己才疏學淺確實沒啥東西出來曬,就這麼拖着.眼看就要到截止日期了,接下來的一段時間工作上安排又很緊,也看了不少優秀同學的作品,有了點點啓發,此時不寫更待何時.

    作文最怕偏題,所謂對症下藥,我就從題目本身需求出發.

    題目提到了三點核心的需求:

1、利用安全防護設備預防***的發生。

2、在被***的過程中，能及時告誡管理員，並記錄和阻斷駭客行爲、特徵。

3、方案中以被***前防禦和被***時阻斷、記 錄***行爲的設備爲主，可酌情添加DLP數據防泄漏等技術產品(友情提示：有保護內網運維人員的客戶機到保護網站的全套方案最佳)。

 

    還有就是目前的應用場景就是web網站,應用具體是跑在linux還是windows上的我們不得而知.很多同學都提出了不錯的開源解決方案讓我受益匪淺.但是回到題目上就有一定的侷限性.畢竟.net+sql server的應用從win往linux +nginx+mysql上遷,一般都是吃力不討好的.(只怪你們寫的太好了,讓我嫉妒,所以挑挑刺,哈哈)當然這樣較真的話可能性就太多了,遠不是一篇文章一種方案能應對的.

    此文我假設趙明的服務器在IDC而並非公司內部.

    先上圖

    需要說明的是此圖是我按照應用的層次和具體的數據流向給出的邏輯架構圖,而並不是具體的網絡結構.這樣層次感較強,也比較容易理解.物理上IDC的所有內網設備接到一臺核心交換機上即可.

    途中的藍色箭頭是數據流的走向.綠色的箭頭是指監控中心對所有的設備進行監控.

    現在我來具體的說明一下

 

內網總管

一,硬件防火牆

作爲一個服務器內網來講第一步的安全措施就是一個硬件的防火牆.有如下幾個好處:

1,保護整個內網的安全,對於服務器環境來講,只需要開放應用的端口即可,對於本例中,我們可以只開放網站運行的端口即可,如80.這樣無疑就有效解決了外部的端口掃描等問題.

2.使用***功能保證運維人員與idc內網的通信安全.現在的防火牆都有各自的***客戶端,必須了安裝了此客戶端的運維人員纔可能訪問到服務器.而且賬號是可管理的,只有授權的賬號纔可以登錄***.而且訪問都有日誌可查,何時何地哪個賬號登錄了***都可以追溯.因爲我們的防火牆並未開放22,3389等端口,也就是說你要連上服務器操作,必須登錄***.無疑大大提高了服務器安全等級.說白了就是給你root密碼你也連不上.

3.硬件防火牆比軟件防火牆效率高,特別是當DDOS***發生時.有了它,連iptables都不用開了,要知道iptables也是要耗服務器資源的.

4.採用NAT,既節約了公網ip,又有效保護了內網.

 

應用層

二,負載均衡器

我推薦使用LVS,主輔設置.LVS是開源的節約了成本,而且有很多成功應用的案例,可以說是相當的成熟,網上資料也多.LVS與後端具體應用無關,你後面用windows的web server也沒影響.LVS可以支持在不中斷服務的情況下任意增刪後端節點,具有很大的靈活性和可擴展性.這裏對它做了failover,當一個失效時,另外一個會接管,保證服務器正常,避免了單點失效.

當然有錢的話也可以上F5這樣的硬件加速設備.

 

三 web服務器集羣

原來的web服務器是一主一輔,顯然是浪費資源.利用lvs兩個都能派上用場.既提高了效率,又避免了單點故障

 

數據層

四 文件服務器

網站的代碼,圖片等這些靜態數據可以放在此處.

這點跟以前沒什麼更改,主要是採用nfs掛載形式給web服務器提供靜態文件.這樣保證了web上的代碼一致,而且要更新代碼也只需要此處更新就可以了.大大降低了人工和時間,提高了效率

 

五 數據庫服務器

動態數據我們都放在數據庫服務器上最好採用集羣的方式,一是保證了數據庫的安全,二是提高了性能.如果用mysql,我推薦使用主從模式,同樣是因爲成功的案例多,相當成熟.尤其是對於大訪問量,我們可以採用一主帶多從的形式來進行擴展.十分方便.

 

存儲層

六 備份中心

不怕一萬就怕萬一.互聯網最重要的就是數據.當災難發生時首先想到的就是備份這根救命稻草.所以我們必須要有一個備份中心.這裏存放我們的備份,包括代碼,軟件配置文件,軟件,用戶文件,數據庫,日誌等等等等.可以使用SAN,NAS等存儲解決方案.如果更高要求可以考慮異地的備份.

 

監控層

七 監控中心

對於安全來講,監控是相當重要的,這也是題目中最重要的要求之一.

首先使用nagios 結合cacti對各個設備的服務,本機資源,網絡流量進行監控和畫圖.nagios最重要的是使用其其報警功能,推薦打開郵件和短信報警,便於我們在問題發生的第一時間就能獲知着手解決,有效提高效率縮短宕機時間.

利用snort打造IDS,監控服務器內網的異常活動.

 

安全防範

前面主要講的是IDC內部的改造,現在我們由內轉外,講講我們該做些什麼.這裏就是題目裏面說的預防工作了,我提出以下兩點

1 運維人員的素質提高.運維人員的pc相當重要,裏面經常放着服務器的核心信息.我們必須提高個人的安全意識,殺毒軟件,防火牆,複雜密碼,離開時鎖屏等這都是老生常談,但是不能不談.

2 對網站做安全檢查.因爲運維人員不是開發人員.找bug我們不擅長,而現在針對網頁代碼級的***卻很多(剛聽說nginx也有漏洞了)因此十分有必要對我們的網站進行安全掃描和檢測.包括系統的漏洞,危險的端口,代碼的問題等等.可以用開源的Nikto2,nmap,xscan等對網站進行掃描.好像有專門的安全公司提供此類服務,雖然我還沒用過.呵呵

 

結語:

    安全是種意識,而不是簡單的買高檔的設備和解決方案來疊加,最後肯定是1+1<2,有了安全意識,即使經濟條件不允許也能找到適合當前業務水平的解決方案.從而事半功倍.少花錢,多辦事,這纔是我們需要的.所以我也沒有給出具體的配置,畢竟各位老大已經寫了很多了.(說實話,要我配還不一定配的出來呢,呵呵)

    你我都是趙明,我們都要被拯救.找誰呢?? 到博客首頁搜搜”趙明”,答案就出來了.

yahoon.北京

2010-5-23