我們舉一個例子來說，聯(lián)系人名單和電子郵件地址也是非常有用的情報。大多數(shù)組織都會使用其員工姓名的某種變體作為他們的用戶名和電子郵件地址(比如說，趙明的用戶名往往會是“zhaoming”、“zhaom”或“zm”，而他的電子郵件地址則往往會是zhaoming@company.com或類似的東西)。如果能夠設法弄到某個組織里的一個用戶名或電子郵件地址，我們就可以相當準確地把很多用戶的用戶名和電子郵件地址推測出來。在我們稍后嘗試獲得系統(tǒng)資源的訪問權限時，一個合法的用戶名將非常有用，這很有可能造成網(wǎng)站管理賬戶的密碼被“暴力破解”!

那么如何防止運維人員和公司內(nèi)部普通用戶將私有信息泄露出去，成為黑客踩點階段的美餐呢?我們希望趙明通過一定的技術或管理手段，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或意外流出。那么在管理上，趙明可以借鑒更多的教育手段來提升普通用戶將信息丟到外網(wǎng)上去，而技術手段上則需要“數(shù)據(jù)泄漏防護”(Data leakage prevention, DLP)，產(chǎn)品的支撐。

通過趙明公司網(wǎng)絡和應用結(jié)構圖的分析，我們可以發(fā)現(xiàn)，這些敏感數(shù)據(jù)通常存放在文件服務器上，普通的用戶通過自己的終端進行訪問。而用戶周邊的打印機、可移動存儲設備、攝像頭、調(diào)制解調(diào)器和無線網(wǎng)絡也是潛在的本地數(shù)據(jù)泄漏源，趙明可以通過在用戶的終端上部署基于主機的數(shù)據(jù)泄漏防御方案來進行控制。而終端用戶和Internet進行的通訊，尤其是最常見的E-mail、FTP、HTTP和即時通訊也是常見的網(wǎng)絡數(shù)據(jù)泄漏源，在這種場合就需要在內(nèi)部網(wǎng)絡和Internet連接的出口處部署基于網(wǎng)絡的數(shù)據(jù)泄漏防御方案進行控制。

部署傳統(tǒng)防火墻，防范數(shù)據(jù)庫暴露

如果說踩點相當于尋找并偵察情報中心的話，掃描就是在逐寸敲打墻壁以期找出所有門窗了。黑客通過踩點獲得了很多有價值的信息，包括員工們的姓名和電話號碼、IP地址范圍、DNS服務器、Web服務器、論壇的賬戶信息、通過員工個人文檔以及郵件內(nèi)容獲得的種種信息。他們將利用各種工具和技巧??比如 ping掃描、端口掃描以及各種自動發(fā)現(xiàn)工具??去確定在目標網(wǎng)絡里都有哪些系統(tǒng)正在監(jiān)聽外來的網(wǎng)絡通信(或者說是真實存在的)，以及都有哪些系統(tǒng)可以從因特網(wǎng)直接進行訪問。

從基于Web主機的角度，各種服務器自身內(nèi)置的實用工具都可以監(jiān)測到ping或者掃描活動并把它們記載到日志文件里去。如果你們在查看有關日志時發(fā)現(xiàn)來自某個系統(tǒng)或網(wǎng)絡的ICMP ECHO數(shù)據(jù)包是某種可疑的模式，那可能代表著有人正在對你們的站點進行網(wǎng)絡偵察。希望趙明要密切留意這類活動，它往往預示著一次全面的攻擊已迫在眉睫。另外，有許多種商業(yè)化的網(wǎng)絡和桌面防火墻工具(Cisco、Check Point、Microsoft、McAfee、Symantec和ISS等公司都能提供)可以監(jiān)測到ICMP、TCP和UDP ping掃描活動。

但存在可以監(jiān)測ping掃描活動的技術，并不意味著有人在密切監(jiān)測著這類活動。所以最好的方式是在Web主機前部屬防火墻，以防止這種掃描接觸到真實的主機。包過濾技術(Packet Filter)是防火墻為系統(tǒng)提供安全保障的主要技術，它通過設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選擇的控制與操作。包過濾操作通常在選擇路由的同時對數(shù)據(jù)包進行過濾。用戶可以設定一系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡;哪些類型的數(shù)據(jù)包的傳輸應該被丟棄。那么這些規(guī)則就是以IP包信息為基礎，對IP包的源地址、 IP包的目的地址、封裝協(xié)議(TCP/UDP/ICMP/IP Tunnel)、端口號等進行篩選。包過濾類型的防火墻要遵循的一條基本原則就是“最小特權原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

另外一種常見的掃描時“端口掃描”，黑客是主動連接到目標系統(tǒng)的TCP和UDP端口以確定在目標系統(tǒng)上都有哪些服務正在運行或處于 LISTENING(監(jiān)聽)狀態(tài)的過程。確定有哪些端口正處于監(jiān)聽狀態(tài)是一個非常重要的攻擊步驟，攻擊者不僅可以了解到遠程系統(tǒng)上都運行著哪些服務，還可以準確地探測出目標系統(tǒng)所使用的操作系統(tǒng)和應用程序的類型和版本。處于監(jiān)聽狀態(tài)的活躍服務就像是你家的大門和窗戶??它們都是外人進入你私人領地的通道。根據(jù)其具體類型(是“窗戶”還是“大門”)，這些通道有的會讓非授權用戶侵入各種配置不當?shù)南到y(tǒng)。當然我們也可以利用防火墻防止TCP SYN “半開掃描”(half-open scanning)、FIN掃描、第三方掃描(“代理”或“肉雞”掃描)等等。

綜上所述，你可能以為我要部署一臺防火墻在Web服務器前面，當然了，不過不要急，我們還要對數(shù)據(jù)庫進行防護呢?這就是內(nèi)網(wǎng)重新調(diào)整成為兩個區(qū)域：一個是辦公區(qū)域，將文件服務器和客戶端放在里面，另一個是數(shù)據(jù)區(qū)；并且將兩臺數(shù)據(jù)庫都放在防火墻的后面。

當外部攻擊穿過外層防護機制進入應用服務區(qū)后，進一步的侵入受到應用層和核心層防護機制的制約。由于外層防護機制已經(jīng)檢測到入侵，并及時通知了管理員，當黑客再次試圖進入應用區(qū)時，管理員可以監(jiān)控到黑客的行為，收集相關證據(jù)，并隨時切斷黑客的攻擊路徑，對于SQL服務器的保護機制是最完善的。

背對背防火墻(Back to Back Firewall )是一般大型企業(yè)所采用的架構，運用兩段防火墻分隔出內(nèi)部網(wǎng)絡、DMZ區(qū)、外部網(wǎng)絡。所分隔出的DMZ區(qū)專門放置對外提供服務的服務器，利用不同的網(wǎng)段與內(nèi)部防火墻，將內(nèi)部使用的服務器分隔開，大大降低對外服務器如Web、SMTP Relay服務器被攻破后，對內(nèi)部網(wǎng)絡產(chǎn)生的危害。
部署Web防火墻，在應用層做到深度檢測

然而，傳統(tǒng)的防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中(HTTP訪問)，它仍然能通過防火墻到達應用服務器;同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。

針對傳統(tǒng)防火墻的弊端，Web 應用防火墻逐漸在中小企業(yè)和Web服務托管環(huán)境中廣泛應用，它包括兩個關鍵功能：即對HTTP/HTTPS 協(xié)議的實時監(jiān)測，HTTP往返流量都能夠?qū)ζ湫袨闋顟B(tài)進行判斷，在攻擊到達Web 服務器之前進行阻斷，防止惡意的請求或內(nèi)置非法程序的請求訪問目標應用。

另外，我建議趙明選擇更先進的Web防火墻，例如攜帶網(wǎng)頁防篡模塊，這可以 通過內(nèi)置自學習功能獲取WEB 站點的頁面信息，對整個站點進行“爬行”，爬行后根據(jù)設置的文件類型(如html、css、xml、jpeg、png、gif、pdf、word、 flash、excel、zip 等類型)進行緩存，并生成唯一的數(shù)字水印，然后進入保護模式提供防篡改保護，當客戶端請求頁面與WAF 自學習保護的頁面進行比較，如檢測到網(wǎng)頁被篡改，第一時間對管理員進行實時告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。當然，事后可對原始文件及篡改后的文件進行本地下載比較，查看篡改記錄，這對于趙明來說，就是在現(xiàn)在的網(wǎng)站結(jié)構中安插一個24小時的哨兵。

提示：在配置Web防火墻時，配置的策略下包含了HTTP 協(xié)議合規(guī)性、SQL 注入阻斷、跨站點腳本攻擊防護、表單、ookie 篡改防護、DoS 攻擊防護等，這是傳統(tǒng)防火墻從來就沒有涉及的領域。

添加設備修改網(wǎng)絡結(jié)構

通過上述分析，我們需要對趙明的網(wǎng)站結(jié)構中添加三個設備，即：Web防火墻、數(shù)據(jù)泄漏產(chǎn)品和傳統(tǒng)的內(nèi)網(wǎng)高速防火墻。這三個產(chǎn)品并分別存放在：Web 服務器前端，交換機后面的數(shù)據(jù)庫區(qū)域(背對背防火墻，防止數(shù)據(jù)庫直接暴露)，以及文件服務器和內(nèi)網(wǎng)客戶端上部署數(shù)據(jù)泄漏產(chǎn)品。

我們選擇了市面上占有率較高的產(chǎn)品作為實例：
◆華為Eudemon 300 千兆防火墻
◆明御Web 應用防火墻
◆Websense Content Protection Suite防數(shù)據(jù)泄露

wangliang