拯救赵明 命题作文,对症下药给方案
    拯救赵明的活动推出很久了,一直都有蠢蠢欲动的感觉,可是迟迟未动笔,一来最近确实比较忙,二来自己才疏学浅确实没啥东西出来晒,就这么拖着.眼看就要到截止日期了,接下来的一段时间工作上安排又很紧,也看了不少优秀同学的作品,有了点点启发,此时不写更待何时.
    作文最怕偏题,所谓对症下药,我就从题目本身需求出发.
clip_p_w_picpath002
    题目提到了三点核心的需求:
1、利用安全防护设备预防***的发生。
2、在被***的过程中,能及时告诫管理员,并记录和阻断骇客行为、特征。
3、方案中以被***前防御和被***时阻断、记 录***行为的设备为主,可酌情添加DLP数据防泄漏等技术产品(友情提示:有保护内网运维人员的客户机到保护网站的全套方案最佳)。
 
    还有就是目前的应用场景就是web网站,应用具体是跑在linux还是windows上的我们不得而知.很多同学都提出了不错的开源解决方案让我受益匪浅.但是回到题目上就有一定的局限性.毕竟.net+sql server的应用从win往linux +nginx+mysql上迁,一般都是吃力不讨好的.(只怪你们写的太好了,让我嫉妒,所以挑挑刺,哈哈)当然这样较真的话可能性就太多了,远不是一篇文章一种方案能应对的.
    此文我假设赵明的服务器在IDC而并非公司内部.
    先上图
clip_p_w_picpath004
    需要说明的是此图是我按照应用的层次和具体的数据流向给出的逻辑架构图,而并不是具体的网络结构.这样层次感较强,也比较容易理解.物理上IDC的所有内网设备接到一台核心交换机上即可.
    途中的蓝色箭头是数据流的走向.绿色的箭头是指监控中心对所有的设备进行监控.
    现在我来具体的说明一下
 
内网总管
一,硬件防火墙
作为一个服务器内网来讲第一步的安全措施就是一个硬件的防火墙.有如下几个好处:
1,保护整个内网的安全,对于服务器环境来讲,只需要开放应用的端口即可,对于本例中,我们可以只开放网站运行的端口即可,如80.这样无疑就有效解决了外部的端口扫描等问题.
2.使用***功能保证运维人员与idc内网的通信安全.现在的防火墙都有各自的***客户端,必须了安装了此客户端的运维人员才可能访问到服务器.而且账号是可管理的,只有授权的账号才可以登录***.而且访问都有日志可查,何时何地哪个账号登录了***都可以追溯.因为我们的防火墙并未开放22,3389等端口,也就是说你要连上服务器操作,必须登录***.无疑大大提高了服务器安全等级.说白了就是给你root密码你也连不上.
3.硬件防火墙比软件防火墙效率高,特别是当DDOS***发生时.有了它,连iptables都不用开了,要知道iptables也是要耗服务器资源的.
4.采用NAT,既节约了公网ip,又有效保护了内网.
 
应用层
二,负载均衡器
我推荐使用LVS,主辅设置.LVS是开源的节约了成本,而且有很多成功应用的案例,可以说是相当的成熟,网上资料也多.LVS与后端具体应用无关,你后面用windows的web server也没影响.LVS可以支持在不中断服务的情况下任意增删后端节点,具有很大的灵活性和可扩展性.这里对它做了failover,当一个失效时,另外一个会接管,保证服务器正常,避免了单点失效.
当然有钱的话也可以上F5这样的硬件加速设备.
 
三 web服务器集群
原来的web服务器是一主一辅,显然是浪费资源.利用lvs两个都能派上用场.既提高了效率,又避免了单点故障
 
数据层
四 文件服务器
网站的代码,图片等这些静态数据可以放在此处.
这点跟以前没什么更改,主要是采用nfs挂载形式给web服务器提供静态文件.这样保证了web上的代码一致,而且要更新代码也只需要此处更新就可以了.大大降低了人工和时间,提高了效率
 
五 数据库服务器
动态数据我们都放在数据库服务器上最好采用集群的方式,一是保证了数据库的安全,二是提高了性能.如果用mysql,我推荐使用主从模式,同样是因为成功的案例多,相当成熟.尤其是对于大访问量,我们可以采用一主带多从的形式来进行扩展.十分方便.
 
存储层
六 备份中心
不怕一万就怕万一.互联网最重要的就是数据.当灾难发生时首先想到的就是备份这根救命稻草.所以我们必须要有一个备份中心.这里存放我们的备份,包括代码,软件配置文件,软件,用户文件,数据库,日志等等等等.可以使用SAN,NAS等存储解决方案.如果更高要求可以考虑异地的备份.
 
监控层
七 监控中心
对于安全来讲,监控是相当重要的,这也是题目中最重要的要求之一.
首先使用nagios 结合cacti对各个设备的服务,本机资源,网络流量进行监控和画图.nagios最重要的是使用其其报警功能,推荐打开邮件和短信报警,便于我们在问题发生的第一时间就能获知着手解决,有效提高效率缩短宕机时间.
利用snort打造IDS,监控服务器内网的异常活动.
 
安全防范
前面主要讲的是IDC内部的改造,现在我们由内转外,讲讲我们该做些什么.这里就是题目里面说的预防工作了,我提出以下两点
1 运维人员的素质提高.运维人员的pc相当重要,里面经常放着服务器的核心信息.我们必须提高个人的安全意识,杀毒软件,防火墙,复杂密码,离开时锁屏等这都是老生常谈,但是不能不谈.
2 对网站做安全检查.因为运维人员不是开发人员.找bug我们不擅长,而现在针对网页代码级的***却很多(刚听说nginx也有漏洞了)因此十分有必要对我们的网站进行安全扫描和检测.包括系统的漏洞,危险的端口,代码的问题等等.可以用开源的Nikto2,nmap,xscan等对网站进行扫描.好像有专门的安全公司提供此类服务,虽然我还没用过.呵呵
 
结语:
    安全是种意识,而不是简单的买高档的设备和解决方案来叠加,最后肯定是1+1<2,有了安全意识,即使经济条件不允许也能找到适合当前业务水平的解决方案.从而事半功倍.少花钱,多办事,这才是我们需要的.所以我也没有给出具体的配置,毕竟各位老大已经写了很多了.(说实话,要我配还不一定配的出来呢,呵呵)
    你我都是赵明,我们都要被拯救.找谁呢?? 到博客首页搜搜”赵明”,答案就出来了.
yahoon.北京
2010-5-23