基于ISA Server 和虛擬化技術(shù)的學(xué)校網(wǎng)站防護(hù)

山東 周京偉 周蓉

近年來(lái)，國(guó)家對(duì)網(wǎng)絡(luò)安全越來(lái)越重視，網(wǎng)站安全更是重中之重。在教育領(lǐng)域，由于經(jīng)費(fèi)、技術(shù)水平等方面的限制，我國(guó)學(xué)校網(wǎng)站大都基于網(wǎng)上的開(kāi)源CMS 系統(tǒng)自主開(kāi)發(fā)，比如DeDeCMS、SiteServer 等。而此類CMS 系統(tǒng)代碼公開(kāi)、用戶數(shù)量多，引起了大量網(wǎng)絡(luò)安全從業(yè)者和愛(ài)好者的廣泛研究，漏洞曝光率和被利用率很高。

由于安全意識(shí)和技術(shù)水平所限，大部分用戶在漏洞曝光后，不能及時(shí)對(duì)系統(tǒng)進(jìn)行版本升級(jí)、漏洞修復(fù)，也不能很好地利用操作系統(tǒng)的安全策略來(lái)進(jìn)行安全防范，導(dǎo)致網(wǎng)站被攻擊，給單位帶來(lái)?yè)p失。

筆者在防護(hù)學(xué)校網(wǎng)站的工作實(shí)踐中探索出了一種通過(guò)Vmware 虛擬化和微軟的ISA Sverver，適合中小學(xué)網(wǎng)站使用的網(wǎng)站安全防護(hù)方法。

整體架構(gòu)

該方法的原理是通過(guò)虛擬化技術(shù)把原來(lái)的物理服務(wù)器虛擬出兩臺(tái)虛擬服務(wù)器，在其中一臺(tái)上安裝ISA Server，另外一臺(tái)安裝原有網(wǎng)站服務(wù)器。

ISA 服務(wù)器配置兩塊網(wǎng)卡，一塊網(wǎng)卡配置外網(wǎng)地址，即原網(wǎng)站服務(wù)器地址；另一塊網(wǎng)卡配置內(nèi)網(wǎng)地址，與網(wǎng)站服務(wù)器互通。

網(wǎng)站服務(wù)器因?yàn)槭莾?nèi)網(wǎng)地址，不能被外網(wǎng)直接訪問(wèn)到，但可以通過(guò)在ISA 服務(wù)器上配置策略實(shí)現(xiàn)外網(wǎng)訪問(wèn)，對(duì)于網(wǎng)站服務(wù)器的訪問(wèn)權(quán)限設(shè)置便可通過(guò)ISA 策略靈活配置，整體架構(gòu)圖如圖1 所示。

圖1 整體防護(hù)架構(gòu)

假設(shè)原有網(wǎng)站的域名為www.example.com，對(duì)應(yīng)的IP 地址為100.100.100.5，這是一個(gè)可以在互聯(lián)網(wǎng)上訪問(wèn)的公網(wǎng)地址。在物理服務(wù)器上安裝Vmware ESXi 5.5，在某一臺(tái)客戶機(jī)上安裝vsphere client 5.5 連接服務(wù)器，為服務(wù)器分配兩個(gè)虛擬機(jī)，兩臺(tái)虛擬機(jī)的主要設(shè)置如下：

1.虛擬機(jī)1

ISA Server 服務(wù)器，安裝Window 2008 服務(wù)器操作系統(tǒng)及ISA Server 2006。

配置兩塊網(wǎng)卡，網(wǎng)卡1 的IP 地址設(shè)置為100.100.100.5，網(wǎng)卡2 的IP 地址為192.168.0.5，這是一個(gè)內(nèi)網(wǎng)地址，外圍不能訪問(wèn)。

2.虛擬機(jī)2

網(wǎng)站服務(wù)器，將原網(wǎng)站服務(wù)器的內(nèi)容復(fù)制到該服務(wù)器上。

配置一塊網(wǎng)卡，IP 地址為192.168.0.6。

ISA Server 策略設(shè)置

創(chuàng)建兩個(gè)網(wǎng)站發(fā)布策略，其中策略1 用于對(duì)所有用戶提供網(wǎng)站訪問(wèn)服務(wù)，訪問(wèn)時(shí)只能訪問(wèn)HTML靜態(tài)網(wǎng)頁(yè)；策略2 用于校內(nèi)用戶訪問(wèn)后臺(tái)，限制訪問(wèn)IP 地址，且在訪問(wèn)時(shí)需要輸入驗(yàn)證碼，用于阻止自動(dòng)掃描。

策略1 的配置方法：

1.打開(kāi)ISA Server，右鍵單擊“陣列”，利用陣列創(chuàng)建向?qū)?chuàng)建一個(gè)陣列。

2.右鍵單擊“防火墻策略”，新建“網(wǎng)站發(fā)布規(guī)則”，名稱為“靜態(tài)訪問(wèn)”，在“請(qǐng)選擇規(guī)則操作”中選“允許”，在“發(fā)布類型”中選擇“發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器”，在“服務(wù)器連接類型”選“http”，在“內(nèi)部發(fā)布詳情信息”中設(shè)置“內(nèi)部網(wǎng)站名稱”為“www.example.com”,輸入網(wǎng)站服務(wù)器地址“192.168.0.6”，在“公共名稱細(xì)節(jié)”中設(shè)置“公共名稱”為“www.example.com”，在“選擇Web 偵聽(tīng)器”中選擇“新建”，新建一個(gè)Web 偵聽(tīng)器，名稱為“80”，“Web 偵聽(tīng)器IP地址”為“所有網(wǎng)絡(luò)（本地連接）”，不設(shè)置身份驗(yàn)證，其他默認(rèn)。在防火墻策略向?qū)е欣^續(xù)點(diǎn)擊“下一步”，選擇“無(wú)委派，但是客戶端可以直接進(jìn)行身份驗(yàn)證”，其他默認(rèn)。

3.雙擊防火墻策略列表中剛建立的“靜態(tài)訪問(wèn)”策略，在屬性對(duì)話框中選擇“通訊”選項(xiàng)卡，點(diǎn)擊“篩選”按鈕，打開(kāi)HTTP 策略配置窗口，設(shè)置“方法”只有“get”，在“擴(kuò)展名”中阻止所有非HTML 的擴(kuò)展名，如圖2 所示，在“簽名”中把所有可能的惡意字符，如“?”“admin”等。

圖2 HTTP 策略配置窗口

策略2 的配置方法：

復(fù)制策略1，命名為“動(dòng)態(tài)訪問(wèn)”，雙擊打開(kāi)屬性窗口，對(duì)相關(guān)內(nèi)容做如下修改：

1.“從”選項(xiàng)卡設(shè)置訪問(wèn)范圍為“學(xué)校內(nèi)網(wǎng)”，內(nèi)網(wǎng)地址需提前配置。

圖3 偵聽(tīng)器中客戶端身份驗(yàn)證方法設(shè)置

2.“偵聽(tīng)器”修改為新建的“8080”，身份驗(yàn)證方法為“HTTP 身份驗(yàn)證”，這樣以后在訪問(wèn)后臺(tái)時(shí)需使用8080 端口，如圖3所示。

3.“通訊”選項(xiàng)卡下HTTP 策略配置修改為默認(rèn)，允許用戶可以訪問(wèn)所有文件。

4.在系統(tǒng)中增加一個(gè)guest 用戶，設(shè)置用戶名和密碼，這樣以后每次登陸后臺(tái)都會(huì)有賬號(hào)密碼驗(yàn)證，輸入正確后才能打開(kāi)后臺(tái)地址，如圖4 所示。

圖4 后臺(tái)訪問(wèn)驗(yàn)證賬號(hào)設(shè)置

以上方法在后臺(tái)使用SiteServer 等前臺(tái)訪問(wèn)不需要調(diào)用動(dòng)態(tài)頁(yè)面的網(wǎng)站后臺(tái)時(shí)已得到驗(yàn)證。未采用上述保護(hù)策略以前，筆者管理的網(wǎng)站經(jīng)常受到攻擊，自按照上述方法配置幾年來(lái)，未檢測(cè)到對(duì)網(wǎng)站的有效攻擊。

對(duì)于DeDeCMS，因?yàn)槠淝芭_(tái)需要調(diào)用動(dòng)態(tài)頁(yè)面，所以配置訪問(wèn)策略有所不同。當(dāng)然，由于開(kāi)放的功能不通，需要調(diào)用的動(dòng)態(tài)頁(yè)面也有所不同。在筆者管理的網(wǎng)站中前臺(tái)需要的動(dòng)態(tài)文件只有plus 文件夾下的advancedsearch.php。

在ISA 中創(chuàng)建三個(gè)網(wǎng)站發(fā)布規(guī)則。規(guī)則1 用于用戶訪問(wèn)靜態(tài)頁(yè)面，與前述“靜態(tài)訪問(wèn)”策略基本相同，只需要修改一下服務(wù)器的域名和地址即可；規(guī)則2 用于管理后臺(tái)，與前述“動(dòng)態(tài)訪問(wèn)”規(guī)則基本相同，對(duì)可以訪問(wèn)的IP 地址進(jìn)行限制；規(guī)則3 用于用戶訪問(wèn)advancedsearch.php，在策略屬性中選擇“路徑”選項(xiàng)卡，如圖5 所示，添加內(nèi)部路徑“/plus/*”。在如圖2 所示HTTP 策略配置窗口中配置php 文件允許訪問(wèn)。為了保證安全，筆者在實(shí)踐中把plus 文件夾下其他不用的動(dòng)態(tài)網(wǎng)頁(yè)全部移到了其它文件夾中，這樣外部用戶在訪問(wèn)的時(shí)候就只能訪問(wèn)這一個(gè)動(dòng)態(tài)頁(yè)面。

圖5 策略配置屬性路徑選項(xiàng)卡

總結(jié)

對(duì)于網(wǎng)站防護(hù)最好的方法是有安全的網(wǎng)站平臺(tái)加可靠的WAF 網(wǎng)站防火墻設(shè)備，這種部署方式在網(wǎng)站數(shù)量較多的高校非常常見(jiàn)，但對(duì)于大多數(shù)只有一個(gè)網(wǎng)站的中小學(xué)來(lái)說(shuō)，代價(jià)確實(shí)太高。

本文介紹的方法成本低、配置簡(jiǎn)單，在實(shí)際應(yīng)用中取得了良好的效果，為廣大中小學(xué)網(wǎng)站防護(hù)提供了一種有益的方案。