3秒下线问题网站 • 安度维港惊魂夜

发布时间：2018-09-05

维港之夜

夜已深了，但尖沙咀的大街上仍然人头攒动，华灯闪耀。人们向着维多利亚港缓缓聚集。
还有半小时就要跨年了！
每年跨年夜的维港烟花汇演，已经成为人们迎接新一年的重要节目，来自世界各地的游客慕名而来。
老于靠在港口竖立的石柱旁，静静凝望着璀璨华灯照不到的深蓝色海面，深深吸了一口微凉的空气，白雾氤氲而起。
“爸爸喷雾了，吞云吐雾的雾！”小女儿脆生生的声音把老于从愁绪中拉出。
摸了摸女儿的头，拉紧了妻子的手，这一刻老于觉得加班熬夜挤出的假期是非常值得的，家庭的温馨瞬间驱散了心头的阴霾。

一个月前

老于负责某学校网站的安全管理工作。一个月前的老于还对自己辖下的网站信心十足——网站前有WAF防护，这可是专业的Web应用防火墙，看它的防护日志，每天都有上百页，敬业劳模的表率。老于虽然对深层的技术不太懂，但和它相处3年来也有着默契——防护不能太严格，否则不仅百度会收录不到网站，校内师生的各种访问还会被WAF误识别为攻击而拦截。

没办法，外包建站嘛，网站代码不规范的地方多了，都修完比重写一个还费劲，缝缝补补再撑三年吧。每次遇到误识别，老于就按厂商教的方法：把触发的防护规则排除掉，网站访问就正常了，不过对应的防护也没了。老于摸摸鼻子，安慰自己：没得事情，哪会有这么巧。老于继续优哉游哉，自我感觉良好。

直到一个人的到来，打破了老于的美梦。

一直关系很好的数通厂商销售带着他们的网站安全产品经理来拜访，老于不屑一顾：我承认你数通做得好，但安全是有技术壁垒的好吧？
产品经理是个年轻人，话不多说直接亮设备——一台漏扫，坦言今天是和老于聊需求的，顺便帮忙做个漏洞扫描。小伙子姓张，一看就是圈内人，直奔主题向老于前辈请教网站安全的防护和管理经验。老于滔滔不绝口若悬河，把自己和WAF相爱相杀的悠悠三年讲得是精彩纷呈，其中也不乏对WAF老兄弟的一些埋怨和期盼，但遗憾的是问题和需求反馈厂商后就石沉大海，连个水花都“没得”。

小张边听边点头，还不时用小本本记录下来，每每提问总是在详细确认老于的“痛点”，尤其是听到老于为了不阻拦百度搜索的爬虫取消了防爬虫和扫描的防护阻塞，还有每遇到误拦截就直接排除该条规则的做法，更是陪老于一起扼腕叹息。
一席聊罢，小张小心翼翼地试探：“老哥，咱们现在网站安全风险比较高，要不做个漏洞扫描试试？

老于也有些心虚了，但仍强撑，“我有WAF呢，不怕事。”
小张帮老于进行了2次漏扫检测，第一次在没有WAF防护的情况下扫出了一堆高危漏洞，老于擦擦汗说“我有WAF呢，怕甚？”
第二次在有WAF防护的情况下仍然扫出了高危漏洞，老于坐不住了，“没防住？！”

小张耐心解释道：WAF在正常启用防护规则时是可以防漏扫工具扫描的，但如果不开启爬虫防护和扫描防护以及其他高危攻击防护的话，仍然会被攻击者或者监管者扫出漏洞。另外，能修的漏洞建议尽量修复，因为一切的安全防护都存在被绕过的可能，绕过防护后如果攻击者发现没有高危漏洞可以利用，也较难下手。

看到老于张口欲辩，小张笑着补充：“当然，针对您的特殊要求，一是要把百度等搜索引擎的爬虫放行，否则SEO白做了；其实最新技术的WAF是支持区分爬虫和扫描工具的；同时还可以针对搜索引擎做白名单，在开启防爬虫和防扫描功能的同时，不影响搜索引擎。当然我们的WAF还支持扫描陷阱，通过反向识别的方式来判断访问行为是否属于扫描行为，进而反向定位攻击者并执行阻断策略。就像是在网站中安插了一个隐藏的陷阱，正常的访问绝无可能触发，而扫描遍历这样的行为必然会遭遇陷阱，一旦触发就可以快速定位，并进行主动防御。二呢，要规避网站访问过程中的误识别，我们也有更好的方案：针对访问某URL出现误识别的情况，可以不在全局排除防护规则，而是针对该URL对防护规则添加例外，从而将风险降到最低。

老于听完忍不住叫好，完美解决他的所有问题啊。要不要试试呢？

老于决定把一个报表管理中心网站先交给小张的WAF——WebGuard（简称WG）防护。“反正只有学期末才会被人访问，服务器都不知道建在哪个犄角旮旯呢，就拿这个试试看吧。”老WAF用得好好的，老于暂时没什么心思去更换WAF设备。

小张再次带WG测试机来时，老于一改之前的悠闲，仓促间完成WG设备上线后就把人撵走了。没办法，老于要抓紧时间搞定手头工作，好休假带家人粗去high~ 但老于还是没有拒绝小张的推荐，给那个报表网站挂上云监控平台WMS做篡改监测，因为据小张说云平台发现篡改等攻击后，管理员可以第一时间控制WG将网站下线！老于想起上级部委曾提出的3秒断网要求，鬼使神差地应了下来。

惊魂一刻

嘭！哗~~~嘭！嘭！嘭！哗~哗~哗~~~
礼花盛典开始了！
老于放下了对网站安全的隐忧，和家人一起全身心投入到热闹的人群中，欣赏、拍照、欢呼！
热闹总归会散。

夜色更浓了，海风也一阵凉过一阵。
老于准备回酒店了，把困得迷糊的闺女交给出租车后排的妻子，自己坐进副驾，终于有空摸出了手机。
未读信息？

“网站监控：211.136.X.X-内容监控【报表管理中心】存在网页内容安全性风险…【告警时间:201X-01-01 0:15】
咦？这个IP好眼熟，是那个报表管理系统？

老于赶紧点开短信，原来是之前小张提到的网站云监控平台WMS发来的，提示监控的报表管理网站可能被篡改！
老于一脸黑人问号？？？就是一个登录页面啊！没人会去改它吧？
手上却不慢，通过手机浏览器存的书签访问WMS监控平台，果然看到监控首页有篡改告警提示！
不会吧！中奖了？？

老于将信将疑地用手机访问学校的报表管理系统，机场买的Wi-Fi网速真心不快，等得老于好烦躁。终于，浏览器页面进度条爬满之后网站打开了。
还是熟悉的报表管理系统页面啊。等等，蓝色的登录框中浮现出几行黑字粗话和一个红色印章，这是什么鬼！！！
握*！
F**k
T*d
…
杀千刀的反动黑客竟然盯上了老子的网站！
老于的语言系统已失控…
报表网站挂网也有年头了，八百年没人关注的一个破网站，怎么突然被人盯上了呢？
等等，老子的WAF呢！WG怎么没防住！老于怒气冲天，就知道他们的WG不靠谱！
狠狠喘了两口粗气，老于稍稍冷静下来，想起上级部门3秒断网的要求。
我倒要看看你们的一键下线好不好用！
老于赶紧切换到WMS平台的页面，在“站点管理”里找到报表网站，看到了“一键下线”按钮，狠狠按下，然后确定！
√离线成功
这么简单？
老于赶紧切到浏览器的报表网站页面去刷新网站，进度条像蜗牛一样爬了半天，终于看不到被篡改页面了。
Thank god！
一键下线好用！
总算及时切断了传播源，避免了负面影响扩散。
老于松了一口气，但紧接着脸色一苦：
老子的假期要泡汤了……

真相大白

老于回到单位第一时间就把小张抓来质问。
老于早就发现WG上竟然没有半点有价值的攻击日志。只能通过访问日志看到有一个IP在攻击发生前一直密集地在访问该网站。
什么破东西啊，防不住不说，连有价值的记录都没有？

小张带来的安全技术专家仔细分析和排查了网站服务器和WG，给出了最终的结论：该网站服务器早在半年前就被人植入了后门！发生攻击时攻击者正是通过了后门连接到服务器进行远程操控篡改，从而绕过了网站前的WAF防护。

“没有安全服务配合的安全产品，其能力发挥可能受到影响”，小张补充道，“就比如WAF，如果在WAF上线前，被WAF保护的网站服务器就已经失陷了，那么WAF的作用就被大大削弱，甚至是无效了。而如果在WAF上线之前就能对网站服务器进行相应的渗透测试，从而发现深层次的安全隐患并解决，即可防患于未然，只要WAF发挥着保护作用网站就是安全的。”
安全产品+专业安全服务，才能实现安全产品的最大价值！
老于深深点头，经此一役，刷新了自己对安全的认识。“对了，你们的一键下线功能还是很给力的，怎么实现的？”

小张：“任何防护手段都无法百分之百拦截攻击，所以一旦出现安全问题，应急响应将无比重要。比如网页篡改攻击，其处置动作必须要快，否则一旦被篡改的内容被公众看到甚至留下截图等记录，攻击的最终目的就达到了。在一些重大会议或活动期间，攻击者不会给我们足够的应变时间。因此，对该类攻击最关键的防护指标是及时响应，控制扩散范围。”

现有的处理方法过于粗暴或难以执行。比如临时断网或关闭服务器系统，影响面太广，管网站的负责人仓促之间很难获得上级批准和相关人员的配合执行。直接断电关停服务器也可能造成数据丢失，给事后的追查溯源带来影响。

而WAF作为服务器区域边界最后一道也是最重要的关卡，应对上述攻击具备天然的优势，我们需要在管理上做足够的改进和调整：

1、简化管理方式
简化管理，用最方便直接的方式来访问和调整WG的安全策略，例如手机。当安全事件发生时，我们可能不在机房旁甚至电脑旁，但至少会有手机。只要保证手机到WG的管理通道可达（路由可达或者专用的NAT策略），就可以用手机来实现管理，也不需要单独再安装专用APP，直接用浏览器访问就可以。

2、一键上线下线
简化策略，用最快速直接的策略来实现网站的下线管理。在应急时，我们不需要也没足够时间来考虑复杂的组合策略，最有效的方法就是用最直接的手段，将网站先行下线，使其无法被访问，保证问题影响不对外扩散。事态得到控制后，再对问题网站及服务器进行细致的排查和分析，加固原有的安全策略，确保问题解决后再快速恢复上线。

【实现效果】
采用移动端（例如手机等）浏览器访问WG，可显示所有服务器列表，具备一键上线离线的应急响应按钮，可在安全事件爆发时进行快速处置。

“当然像您之前访问的云监控平台WMS，因为可以和WG的联动，所以也能在云平台的网站监控页面实现对WG上的网站进行一键下线操作。”

老于听完感慨，这个功能好，手机或者任意设备随时访问，方便而且解决大问题啊。
小张嘿嘿一笑，其实这次来也是想邀请您体验我们完整的Web安全立体解决方案，帮您一站式解决Web安全问题。

【本故事纯属虚构，如有雷同纯属对方抄袭我】

锐捷Web安全立体解决方案

锐捷Web安全立体解决方案针对当前业内的信息安全现状，通过公有云检测和本地安全防护相结合的方式协助客户进行网站安全建设，实现对于网站安全状况（网站可用性、网页篡改、违规内容等）的实时监测，对WEB攻击（WEB漏洞攻击、OWASP Top10、CC攻击等）的提前预防、统一防御、及时发现和应急响应，增强针对网络攻击的防御纵深，进一步完善安全防御架构，真正实现有效应对网站系统Web攻击。

方案从安全评估、安全防护和安全运维三个层面，完整涵盖Web应用系统生命周期中从开发测试到上线交付，再到运行维护的各个环节，实现系统发布前的漏洞扫描、上线后的攻击防护、日常运维的安全监控与审计管理。

▲Web应用系统全生命周期防护

安全评估

1. 漏洞扫描

漏洞，是Web安全隐患的源头，大部分Web攻击都是攻击者利用漏洞实施的。如果能事先发现漏洞并修正，则可以极大降低系统的安全风险。因此无论是在Web系统是处于上线前的开发测试阶段，还是已经建设完毕的运行维护阶段，都需要进行安全评估。

锐捷RG-Scan漏洞评估系统是一款集系统扫描、web扫描、数据库扫描、弱口令扫描等功能模块于一体的综合漏洞发现与评估系统。

针对构成网站的三部分：操作系统、中间组件和网页程序，都可以进行漏洞扫描，从而对网站安全状况做出全面的评估。

优势特点：

RG-Scan可以把扫描结果以图、表、文字说明等多种形式直观呈现出来，同时提供解决方法和处理建议，方便管理员及时修复漏洞或者调整防护策略，预防漏洞攻击。

2. 渗透测试服务

专业安全服务工程师模拟黑客攻击方式对客户信息系统进行非破坏性安全测试，发现深层次的安全隐患，验证现有安全措施的防护效果，及时了解其被入侵的可能性，提出整改建议。测试内容包括:敏感信息收集、端口信息、系统帐号信息、网络资源信息、安全漏洞发现与利用、帐号密码破解、权限绕过等等。

实施效果
●验证现有安全措施的防护能力,发现系统深层次安全风险。
●最真实模拟黑客方式入侵。
● 避免被监管机构或黑客提前发现问题。

安全防护

1. Web攻击防护

Web应用防火墙（WAF）是针对Web应用的特点发展而来的专业安全产品，能够有效地防护SQL注入、XSS跨站脚本等Web攻击。企业组织应在传统防火墙、IPS边界防护的基础上，增配WAF设备保护Web应用。

锐捷WAF（简称WG）能够识别各类高危Web攻击，如： SQL注入攻击、跨站脚本（XSS）攻击、敏感信息泄露、webshell攻击、爬虫及恶意扫描攻击、缓冲区溢出攻击、盗链、恶意代码攻击、会话劫持攻击等。通过识别实时访问流量，过滤攻击流量，保护正常Web访问, 防止因为黑客流量攻击造成数据泄露、网站业务中断等现象。

优势特点：

WG支持对接国际、国内主流威胁情报源，可实现主动过滤僵尸主机等恶意来源的流量，提高安全防护效率。同时基于实时更新的威胁情报库，动态防护未知威胁。

WG支持攻击态势的大屏展示，可通过实时态势监测功能进行攻击态势地图展示，包含对源地址、源地域、目标服务器、攻击类型、攻击趋势、流量趋势等重要的安全指标数据的统计分析。基于攻击事件的动画展示将网络中蕴涵的态势状况通过可视化图形方式展示给用户，可识别出是否有高级黑客在针对用户业务进行定向式web攻击。可视化展示让WAF的攻击日志不再是眼花缭乱的数据流，而是呈现出新的价值。

2. 网页防篡改

没有任何防护手段是绝对安全的，网页防篡改是保障网站页面内容完整性的最后一道保险。

锐捷RG-Wlock采用文件驱动级保护技术，确保受保护网页不会被篡改。文件驱动级保护是网页防篡改的第三代技术，其原理是采用操作系统底层文件过滤驱动，分析并拦截IRP流（I/O request packets，简称IRP，即输入输出请求包），对所有受保护的网站目录的写操作都立即截断，在企图篡改文件之前就阻止。

RG-Wlock是真正的“防”篡改（篡改前拦截），而非篡改后恢复。且不惧连续篡改攻击，支持断线监控保护；对服务器资源占用极低，不依赖WEB服务器软件，也不影响网页的正常访问。

安全运维

安全运维是安全建设的最后一公里
Web应用不是一次性交付的静态产品，而是持续运营的平台。针对Web安全事件，需要具备对Web安全威胁进行实时监测的手段，包括Web站点的可用性监测、篡改监测、网页挂马监测、黑词暗链监测等。Web站点运维人员需要在遭受攻击后第一时间获知，并采取应急响应措施。

锐捷云安全监控预警平台RG-WMS，可以对网站进行7*24小时的实时监测和风险预警，可及时发现木马、暗链、敏感关键字等问题；敏感关键字支持自定义设置，可用于监控追踪时事热点词汇出现在站内的数量和位置。RG-WMS支持对网站页面的文字、链接、图片、标题等内容进行篡改监控，在检测到页面被篡改后能够第一时间告警提示。