网络安全与网站防护解决方案

华硕服务器第四届IT硬件平台搭建大赛A市政府网络安全与网站防护解决方案王春海石家庄市学府路47号河北经贸大学A市政府网络安全-网站防护解决方案·2·1概述根据CNCERT/CC（国家互联网应急中心）的2月份发布的统计报告，2009年1月1日至31日，我国大陆地区被篡改网站的数量为3792个，较2008年12月的1693个增长了124%，其中代号为“xsax”和“By_Tuncayov”的攻击者对大陆网站进行了大量的篡改。我国香港被篡改网站数量为36个，较上月增长了18个，我国台湾地区被篡改网站数量为16个，较上月减小了8个。如果上面的数据，表达不了网站被攻击的严重性，那么，CNCERT/CC的2008年7月份的统计报告很说明问题，大约平均每5个政府网站，就有一个网站被黑！而且，近年来，网站被篡改的数目仍然以每年2～3倍的速度在不断递增。根据这些材料可以知道，网站被篡改、被攻击的数量是非常大的，并且递增的数目也是比较快的。A市政府网站，在近期被黑客篡改页面的情况多有发生，即影响了政府形象，也给广大市民带来不便。怎样对政府网站进行安全防护，是市政府信息中心所面临的首要任务。同时，政府现在有300多台计算机上网，虽然有网通、电信宽带接入互联网，但由于各种问题，终端上网速度很多，每天网络中断两、三次，只能重新启动交换机、路由器才能重新上网，但过几个小时，问题会再次出现，单位网络办公的环境也需要改造。信息中心要求，在不改变现有网站的维护方式的前提下，对网站进行安全防护，防止网站再次被黑；在不改变现有上网设置的情况下，改变整个网络的上网环境、避免再次出现整个网络瘫痪。经过实地考察，并与信息中心沟通，决定采购两台华硕服务器、一套ISAServer防火墙软件与WindowsServer2003，对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5，配置2GB内存、单块SATA硬盘、4个集成BroadcomBCM5721PCI-E千兆网卡；另一台服务器采用华硕TS700-E4，配置16GB内存、1个4核Intel处理器、6块SAS硬盘（其中5块硬盘做RAID5、1块硬盘备用）、集成双千兆网卡、双电源。2政府网络现状与用户需求A市信息中心是正科级全额拨款事业单位，挂靠A市政府办公室，负责全市信息化建设的规划、指导和组织工作，主要承担全市电子政务的建设和管理工作。目前，A市信息中心的内网上接市委、市政府，下联市直80多个部门、10多个乡镇、经济技术开发区。为方便市领导上互联网的需要，信息中心还向网通、电信各申请了20M互联网带宽，通过双WAN口路由器，实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作，每个部门都建立了自己的局域网，全市办公内网的微机保有量约2000台以上，A市的信息化应用水平在石家庄市各县市区中一直名列前茅。目前，A市政府信息化应用水平较高，有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统，这些系统分别运行在机房的多台服务器上。这些服务器，有的是一些品牌机服务器，有些是组装的服务器，配置比较低、没有提供数据的冗余与备份功能，从长远角度来看，存在安全隐患。从今年开始，政府网站被黑客篡改首页多次，并且修改的次数越来越多、间隔越来越短。每次黑客A市政府网络安全-网站防护解决方案·3·修改网页后，只能通过备份恢复，有的黑客向网页中嵌入广告代码，信息中心人员只能一个一个网页检查、然后删除这些广告代码，给政府网站对外宣传带来了负面影响，也给信息中心人员的管理人员带来了压力。同时，随着近几年来，网上办公的兴起，政府楼内接入网络的计算机越来越多，另外，随着职工使用计算机水平的提高，管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏，占用了网络带宽，导致上网越来越慢。在每天上网高峰的时期（上午10点半左右、下午3点左右），网络缓慢的几近打不开网页，只能通过重新启动交换机、双WAN口路由器的方式，恢复网络连接。另外，当每次大规模的病毒爆发时，例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒，都会导致整个网络瘫痪。市政府信息中心对外面临政府网站被黑客攻击、修改页面，对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力，可以说，整个网络安全状态已经到了不得不改的情况。政府信息中心的需求主要包括以下几个方面：保护政府网站不被黑客入侵。解决局域网上网速度慢的问题。解决整个网络经常感染木马、病毒的问题。减轻信息中心人员负担。3方案设计在方案设计之前，需要详细的了解现有网络的状况。经过信息中心人员进行介绍，并经过实际考察，画出A市政府现有网络的拓扑图，如图1所示。到网通到电信政府网站与OA服务器192.168.1.8/24192.168.1.1双WAN口路由器内：192.168.250.1/24外：61.182.x1.x2楼层交换机楼层交换机楼层交换机工作站：192.168.18.30/24网关：192.168.18.1工作站：192.168.18.1/24网关：192.168.18.1工作站：192.168.11.18/24网关：192.168.11.1工作站：192.168.11.1/24网关：192.168.11.1工作站：192.168.10.200/24网关：192.168.10.1工作站：192.168.10.2/24网关：192.168.10.1工作站：192.168.10.1/24网关：192.168.10.1三层交换机图1A市政府网络拓扑A市政府网络安全-网站防护解决方案·4·A市政府各有20M光纤分别接电信、网通（现联通）访问Internet，这两条光纤通过“光纤收发器”转成RJ45网线，接在一个双WAN口的路由器上，用做代理服务器。该双WAN口路由器LAN口接到三层交换机上，三层交换机划分了多个VLAN，每个楼层属于一个VLAN，并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上，直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址（192.168.1.8），Internet上的用户通过政府网站域名访问，政府内的人员都是直接使用IP地址192.168.1.8访问政府网站，信息中心工作人员是使用192.168.1.8来访问与维护网站、更新网站内容。3.1网站频繁被黑的原因与解决对策经过分析，发现网站频繁被黑的原因可能如下：操作系统漏洞：网站服务器的操作系统是Windows2000Server，虽然现在WindowsServer2008已经发布，WindowsServer2003应用也很成熟，但由于各种原因，服务器操作系统一直没有升级，另外，也没有及时的更新各种补丁。数据库漏洞：数据库使用的是SQLServer2000，同样，也没有打补丁。网站代码漏洞：政府网站，是由信息中心的人员，在2001年左右，在网上下载的代码的基础上，修改成的。由于开始的时候，网站被攻击的事情很少发生，所以，信息中心的人员忽视了这方面的情况。这些网站代码中，存在SQLServer注入漏洞、文件上传漏洞、Shell漏洞等，而后台管理密码也是比较简单。针对网站被黑的原因后，首先提出如下的解决方法：及时更新操作系统补丁与数据库的补丁。升级操作系统与数据库：由于Microsoft已经不对Windows2000与SQLServer提供支持，建议将将Windows2000Server升级到WindowsServer2003，将SQLServer2000升级到SQLServer2005。修改网站代码，避免SQLServer注入漏洞、文件上传漏洞与Shell漏洞。虽然知道需要修改网站代码防止网站被黑，但实际上，政府网站已经使用多年，短期内对政府网站做大的修改不容易实现，只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点，决定采用如下的技术措施：将政府网站分成两个相同的站点，一个站点用于对外发布，供市民、网民通过Internet浏览、查看内容，另一个网站专门用于信息中心人员维护，该网站只能通过内网访问，这两个网站使用同一个数据库。而发布到Internet上的网站，其采用的SQLServer用户名密码只能“浏览”访问网站SQLServer数据库，而用于内网维护的网站，其采用的SQLServer用户对政府网站数据库有“完全控制”的权限。另外，在双WAN口路由器与三层交换机之间，增加一级代理服务器，采用ISAServer做软件防火墙与代理服务器，用ISAServer的“签名”等功能，通过过滤关键字的功能，防止文件上传漏洞、Shell漏洞等。3.2内网速度慢的原因与解决方法对于局域网内，计算机速度慢、网络速度慢、经常感染病毒等问题，简单来说，如果升级计算机的配置、增加出口带宽的速度，是可以解决问题。但是，这些都是不现实的，另外，这也不是解决问题的根本方法，即使用这种方法解决了现在的问题，但过段时间，同样的问题仍然会继续。A市政府网络安全-网站防护解决方案·5·在用户现场，经过进一步分析、调查与判断，得到如下的结果：（1）内存不足导致运行缓慢。大多数的计算机内存都比较小，主要是256MB内存。而杀毒软件，大多数用户使用的是“瑞星”，不可否认，瑞星杀毒软件占的资源比较大，在现在主流操作系统是WindowsXPSP2的情况下，安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件，与常用的办公软件，例如Office、WPS后，系统内存占用的资源已经到了170多MB，在打开网页时，由于现在网页中图片、广告很大，IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存，当主机内存不够的情况下，会使用硬盘空间作为交换分区（虚拟内存），这样就造成了计算机速度变慢。（2）病毒占用系统资源。许多计算机没有打“补丁”，在浏览一些网页时，感染了木马或蠕虫病毒，有的计算机感染了ARP病毒，所以在计算机启动的时候，这些木马或蠕虫，试图通过网络感染给其他计算机、或者试图连接广告站点，占用了系统资源，这是计算机启动慢、反应慢的最主要原因。（3）带宽被占拖慢网速。单位提供4MB带宽，本来是为单位上网（浏览网页）、收发邮件等正常办公使用，但近一两年来，许多用户使用计算机“水平”越来越高，一些员工在工作时间看在线视频，或者玩游戏，使用讯雷或BT下载电影，占用了大量的网络带宽，而双WAN口路由器没有流量监控与流量控制功能。经过实际测试，在看“新华网”的在线视频时，单一视频流就会占用800KB以上的带宽，理论上讲，只要单位中有20个人看新华网的在线视频，就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。对上述这些情况，可以通过打补丁、更新杀毒软件等方法解决，主要内容如下：（1）使用微软免费产品WSUS使用Microsoft提供的专门用于企业用户的升级服务器-WSUS，统一为网络中的计算机“打”补丁。采用WSUS，将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁，即提高了更新补丁的速度，又节省了出口带宽。例如，WindowsXPSP3补丁大约300MB，如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级，以100台工作站为例计算，需要下载300MB×100＝30GB，而采用WSUS，只需要WSUS从Microsoft升级服务器下载300MB补丁，其他工作站直接从WSUS即可获得补丁。（2）使用ISAServer禁止无序下载、限制每台计算机的并发连接数量在双WAN口路由器与三层交换机之间，增加ISAServer防火墙与代理服务器，使用ISAServer，禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频，并限制每个计算机的并发连接数量。（3）采用占用资源较小的杀毒软件网络版杀毒软件太贵，可以购买支持局域网升级的杀毒软件，例如