基于Very Nginx虛擬防火墻的安全可控訪問(wèn)

張 鑫 王 虎 黃 力 常崢?lè)?縱宇浩

大唐南京環(huán)保科技有限責(zé)任公司 江蘇 南京211111

0 引言

防御、檢測(cè)成為當(dāng)下網(wǎng)絡(luò)時(shí)代，保證數(shù)據(jù)安全的手段。在系統(tǒng)多樣化、復(fù)雜化的環(huán)境中，系統(tǒng)肯定由訪問(wèn)層、負(fù)載分配層、業(yè)務(wù)層、業(yè)務(wù)間通信層、數(shù)據(jù)存儲(chǔ)層。訪問(wèn)層會(huì)有網(wǎng)絡(luò)協(xié)議，例如：IP、端口、加密協(xié)議等；負(fù)載分配層會(huì)有Apache、Nginx等組件；業(yè)務(wù)層會(huì)有Tomcat、IIS等組件；業(yè)務(wù)間通信層會(huì)有SOA等方式；數(shù)據(jù)存儲(chǔ)層會(huì)有SQL等數(shù)據(jù)庫(kù)。Bug也是在相互開(kāi)放API接口的同時(shí)產(chǎn)生，或者在相互傳輸?shù)倪^(guò)程中產(chǎn)生邏輯Bug。

Very Nginx在Nginx的基礎(chǔ)上提供了WEB界面、增加很多訪問(wèn)請(qǐng)求限制板塊，根據(jù)匹配策略為系統(tǒng)提供訪問(wèn)控制。例如：在Matcher中設(shè)置Client IP，若訪問(wèn)匹配該策略，則Action中調(diào)用該策略，若匹配，則看是否在安全域內(nèi)。若在安全域內(nèi)，放行；反之，阻斷其所有訪問(wèn)行為。

Very Nginx為某企業(yè)的信息系統(tǒng)增加邏輯隔離，百分之百的杜絕網(wǎng)絡(luò)滲透攻擊是妄想，如何利用前沿技術(shù)為運(yùn)維人員提供故障或者防御的處理時(shí)間，從而及時(shí)有效的降低損失的最有效辦法。

1 信息系統(tǒng)部署的現(xiàn)狀及存在的問(wèn)題

圖一 系統(tǒng)部署對(duì)比圖(左：前期部署 右：后期部署)

1.1 信息系統(tǒng)部署現(xiàn)狀 某企業(yè)信息中心部署N套系統(tǒng)，系統(tǒng)的部署如圖一所示主要用途有電子辦公、電子數(shù)據(jù)備份等，這些在業(yè)務(wù)出口未部署防火墻(WAF防火墻)，僅使用了windows server或linux服務(wù)器系統(tǒng)本身防火墻，在策略上增加出入策略，進(jìn)行端口、ip地址的放行。其余系統(tǒng)本身相當(dāng)于直接裸露在局域網(wǎng)內(nèi)，僅一臺(tái)內(nèi)網(wǎng)主機(jī)被攻陷或者中圖靈、永恒之藍(lán)的木馬，信息系統(tǒng)將遭受致命性的攻擊，造成數(shù)據(jù)丟失，最終影響該企業(yè)業(yè)務(wù)的停滯。

1.2 信息系統(tǒng)部署存在的問(wèn)題1)信息系統(tǒng)直接裸露在局域網(wǎng)內(nèi)是最大的漏洞，因?yàn)楣芾韱T訪問(wèn)、普通人員訪問(wèn)都在同一地址很容易從在SQL注入、shell攻擊，或者撞庫(kù)攻擊，對(duì)與信息系統(tǒng)而言，安全無(wú)法保障。

2)使用系統(tǒng)自帶防火墻無(wú)法保證信息系統(tǒng)的安全，因?yàn)樾畔⑾到y(tǒng)本身的防火墻僅可以做到端口、IP地址等匹配，無(wú)法做到訪問(wèn)頻率、源地址、目標(biāo)地址等詳細(xì)記錄。這對(duì)于信息系統(tǒng)維護(hù)人員缺乏了分析被攻擊的主要信息，有防護(hù)手段將變成無(wú)防護(hù)手段。響應(yīng)時(shí)間將變?yōu)闊o(wú)窮，恢復(fù)時(shí)間也變成無(wú)窮。盡管已經(jīng)做了備份，可立即恢復(fù)，但無(wú)法定位source，在恢復(fù)之后立馬被攻擊，相當(dāng)于恢復(fù)時(shí)間增大，使用者也會(huì)帶來(lái)無(wú)限的不良情緒。這將對(duì)系統(tǒng)本身的用戶體驗(yàn)度大大降低，也使得領(lǐng)導(dǎo)對(duì)運(yùn)維者能力提出懷疑。

3)系統(tǒng)本身未作IP地址代理，系統(tǒng)隱藏性降低。這對(duì)于攻擊者來(lái)說(shuō)，降低了其進(jìn)行網(wǎng)絡(luò)滲透的時(shí)間，降低了企業(yè)數(shù)據(jù)和系統(tǒng)運(yùn)行的安全性對(duì)訪問(wèn)地址進(jìn)行系統(tǒng)型分類(lèi)。

2 提高系統(tǒng)安全性的方法

1)訪問(wèn)控制策略主要以最小化和零信任為基礎(chǔ)原則。在Very Nginx的matcher中制定規(guī)則，可以設(shè)置usreagent、client IP、host、url、referer、request args等參數(shù)。Action中可以設(shè)置Scheme Lock Redirect、URI Rewrite、Browser Verify、Frequency Li mit、Filter(waf)等參數(shù)。系統(tǒng)上線物理連接邏輯如圖一。

2)按照配置模板對(duì)訪問(wèn)請(qǐng)求進(jìn)行配置，保證每一個(gè)服務(wù)器系統(tǒng)訪問(wèn)客戶為匹配用戶。為防止偽裝客戶對(duì)基礎(chǔ)策略進(jìn)行修改，對(duì)該策略配置文件進(jìn)行了每5秒使用原始文件進(jìn)行覆蓋的操作。

3 提高系統(tǒng)安全性策略分類(lèi)

1)訪問(wèn)策略-端口限制。策略標(biāo)準(zhǔn)化對(duì)于該防火墻策略進(jìn)行目標(biāo)訪問(wèn)策略分類(lèi)，對(duì)于不同的業(yè)務(wù)進(jìn)行不同的分類(lèi)。例如：對(duì)業(yè)務(wù)協(xié)同訪問(wèn)需要做到除源、目的IP配置外，對(duì)端口的開(kāi)放、關(guān)閉一定要嚴(yán)格配置，不允許多余配置出現(xiàn)；業(yè)務(wù)地址為172.16.11.66：8080為訪問(wèn)地址，除8080端口，若出現(xiàn)異常端口，鎖定10分鐘再放行，若連續(xù)出現(xiàn)，直接鎖定24小時(shí)，再放行。

2)訪問(wèn)策略-協(xié)議限制。對(duì)業(yè)務(wù)協(xié)同訪問(wèn)需要做到除源、目的IP配置、端口外，對(duì)傳輸協(xié)議的開(kāi)放、關(guān)閉一定要嚴(yán)格配置，不允許多余配置出現(xiàn)；業(yè)務(wù)地址為http：//172.16.11.66：8080為訪問(wèn)地址，使用https協(xié)議的訪問(wèn)全部阻斷，認(rèn)為其是異常流量。

4 結(jié)語(yǔ)

利用開(kāi)源Very Nginx作為基礎(chǔ)模型，通過(guò)在某企業(yè)的信息系統(tǒng)前端部署，Very Nginx可以很大程度上提高公司系統(tǒng)的數(shù)據(jù)和運(yùn)行環(huán)境的安全性。