大型网站运行维护安全管理方案

2004-6-13　发布方：清华得实　网友评论 0 条　点击进入论坛

555网站是国内四大综合网站之一，网站规模很大，运行和维护都很复杂。本方案主要从内部安全管理的角度，为555网站的运行维护规划一个安全解决方案。 1. 现状与需求分析 555网站的网络结构如图1所示。图1 555网站网络结构示意图如图所示，555网站在和平里和上地分别有一个局域网，两地分别有一个机房，与电信网络连通。两地的办公区都通过防火墙与机房隔离，所用的防火墙为在Nokia IP650硬件平台上运行的Check Point FireWall-1企业级防火墙。办公区之间通过内部光纤连接。两个机房地服务器共有约150多台，包括对外的WEB服务器和测试用服务器。办公区主要是PC机，约200台，操作系统主要是MS Windows平台。网站的运行维护主要是在办公区，通过FTP和TELNET等操作对机房里面的WEB服务器进行维护，包括： 1）系统部管理人员（包括安全组和维护组的人员）通过TELNET操作维护WEB服务器的运行，完成服务器的各种配置、启动和停止等。 2）开发部人员、网站编辑等通过FTP操作，把在本机上编辑好的稿件、页面、程序等传送到WEB服务器上。系统管理人员也可以通过FTP来做一些事情。使用的FTP软件主要是ProFTP、BeroFTP等。 3）内部员工通过内部电子邮件传送一些重要的信息，包括一些服务器的帐号和口令信息，如系统部人员把用户帐号和口令用电子邮件传送给开发人员和网站编辑等。从这种应用模式分析，555网站运行维护的主要安全需求是保证各种数据传输的安全： 1）首先，不管是使用FTP、TELNET还是电子邮件，用户都必须首先输入在FTP、TELNET和邮件服务器上的用户帐号，包括用户口令。目前，555网站采用了SSH技术来保证口令的安全，但安全强度还不够，且与有些应用的结合有问题。
    WebST组成简介
    WebST应用安全平台由一组服务器和客户端组成，通过服务器和客户端之间的协调工作，为应用系统提供安全服务和安全管理功能。
    WebST由以下部件组成：
    1） WebST安全服务器：提供用户注册功能，保存注册用户的信息（身份、所属组、密钥等信息）；在用户访问应用系统时认证用户身份，为用户和应用服务器之间的通信建立安全信道。
    2） WebSEAL服务器：是一个访问控制服务器，对WEB应用起安全代理作用。保存用户对Web资源的访问授权（ACL），对HTTP服务提供访问控制。用户通过WebST安全服务器完成身份认证，取得与Web服务器通信的凭证，再通过WebSEAL服务器提供授权，访问Web服务器资源。
    3） NetSEAL服务器：是另一个访问控制服务器，对非WEB的TCP/IP应用（如FTP、TELNET和内部电子邮件）起安全代理作用，保存用户对这些服务资源的访问授权（ACL），为这些服务提供访问控制服务。用户通过WebST安全服务器完成身份认证，取得与应用服务器通信的凭证，再通过NetSEAL服务器提供授权，访问应用服务器资源。
    4） Java Console管理控制台：通过这个管理控制台在WebST安全服务器上建立各个应用系统的用户库、在WebSEAL和NetSEAL服务器上建立资源目录结构，完成授权管理。
    5） NetSEAT：WebST客户端软件，安装在用户使用的应用客户端机器上，负责与WebST安全服务器、WebSEAL和NetSEAL服务器通信，完成用户身份认证，建立安全信道。NetSEAT和WebST安全服务器、WebSEAL和NetSEAL服务器之间的所有数据传输都是通过安全信道传输的。NetSEAT是一个轻型的客户端软件，占用资源极少，配置简单，且配置好后对用户是完全透明的。

    2.3. WebST工作机制
    WebST的工作机制如图2所示：
    1）首先，系统管理员利用管理控制台在WebST服务器上建立相应的用户帐号和资源目录，并根据需要完成授权；
    2）用户提出到应用系统（FTP、TELNET和内部电子邮件服务器）的访问请求；
    3）安装在应用客户端上的WebST安全客户端软件NetSEAT客户端捕获该请求，向WebST安全服务器提出身份认证请求；
    4）在用户输入用户名、口令之后，WebST安全服务器和NetSEAT之间通过Kerberos协议完成双向的身份认证，返回一个用户身份凭据给NetSEAT客户端；
    5） NetSEAT客户端把该身份凭据和用户的访问请求提交给WebSEAL服务器或NetSEAL服务器；
    6）之后，由WebSEAL服务器或NetSEAL服务器根据ACL库的安全策略，确定用户对其访问请求的访问权限；如果用户对其访问请求有访问权限，则代替用户访问应用资源。如果是WEB应用，可以由WebSEAL服务器提供细粒度的访问控制，否则，将由NetSEAL服务器提供对TCP端口的访问控制。
    7）图中红色箭头线所示都是WebST各部件之间建立的安全信道。

    图2 WebST工作机制示意图

    这里的WebSEAL和NetSEAL服务器可以有多个，分别对应后面的一个或多个应用服务器。

    3. WebST安全解决方案
    综合555网站运行维护的主要需求和WebST应用安全平台的安全特性，我们提出如下的安全解决方案，如图3所示：
    1）整个解决方案以WebST应用安全平台的安全服务器和NetSEAL服务器为基础，通过WebST
    安全客户端软件NetSEAT与WebST服务器之间的身份认证、访问控制和传输加密来保证???
    网站的运行维护安全。同时此方案将充分结合???网站现有的防火墙的功能，共同构筑一个
    安全可靠的网站安全系统

    图3 555网站运行维护安全解决方案示意图
    WebST组成简介
    WebST应用安全平台由一组服务器和客户端组成，通过服务器和客户端之间的协调工作，为应用系统提供安全服务和安全管理功能。
    WebST由以下部件组成：
    1） WebST安全服务器：提供用户注册功能，保存注册用户的信息（身份、所属组、密钥等信息）；在用户访问应用系统时认证用户身份，为用户和应用服务器之间的通信建立安全信道。
    2） WebSEAL服务器：是一个访问控制服务器，对WEB应用起安全代理作用。保存用户对Web资源的访问授权（ACL），对HTTP服务提供访问控制。用户通过WebST安全服务器完成身份认证，取得与Web服务器通信的凭证，再通过WebSEAL服务器提供授权，访问Web服务器资源。
    3） NetSEAL服务器：是另一个访问控制服务器，对非WEB的TCP/IP应用（如FTP、TELNET和内部电子邮件）起安全代理作用，保存用户对这些服务资源的访问授权（ACL），为这些服务提供访问控制服务。用户通过WebST安全服务器完成身份认证，取得与应用服务器通信的凭证，再通过NetSEAL服务器提供授权，访问应用服务器资源。
    4） Java Console管理控制台：通过这个管理控制台在WebST安全服务器上建立各个应用系统的用户库、在WebSEAL和NetSEAL服务器上建立资源目录结构，完成授权管理。
    5） NetSEAT：WebST客户端软件，安装在用户使用的应用客户端机器上，负责与WebST安全服务器、WebSEAL和NetSEAL服务器通信，完成用户身份认证，建立安全信道。NetSEAT和WebST安全服务器、WebSEAL和NetSEAL服务器之间的所有数据传输都是通过安全信道传输的。NetSEAT是一个轻型的客户端软件，占用资源极少，配置简单，且配置好后对用户是完全透明的。

    2.3. WebST工作机制
    WebST的工作机制如图2所示：
    1）首先，系统管理员利用管理控制台在WebST服务器上建立相应的用户帐号和资源目录，并根据需要完成授权；
    2）用户提出到应用系统（FTP、TELNET和内部电子邮件服务器）的访问请求；
    3）安装在应用客户端上的WebST安全客户端软件NetSEAT客户端捕获该请求，向WebST安全服务器提出身份认证请求；
    4）在用户输入用户名、口令之后，WebST安全服务器和NetSEAT之间通过Kerberos协议完成双向的身份认证，返回一个用户身份凭据给NetSEAT客户端；
    5） NetSEAT客户端把该身份凭据和用户的访问请求提交给WebSEAL服务器或NetSEAL服务器；
    6）之后，由WebSEAL服务器或NetSEAL服务器根据ACL库的安全策略，确定用户对其访问请求的访问权限；如果用户对其访问请求有访问权限，则代替用户访问应用资源。如果是WEB应用，可以由WebSEAL服务器提供细粒度的访问控制，否则，将由NetSEAL服务器提供对TCP端口的访问控制。
    7）图中红色箭头线所示都是WebST各部件之间建立的安全信道。

    图3 555网站运行维护安全解决方案示意图
    2）我们在555网站的办公区配置一个WebST安全服务器，为???网站的运行维护提供用户管理和身份认证的功能。所有用户（包括系统部管理人员、开发部人员和网站编辑），在通过FTP和TELNET访问???网站时，都必须先通过WebST安全服务器的认证，取得一个身份凭据之后才允许进一步的访问。用户在访问内部邮件服务器时，如果数据比较重要，也必须通过WebST安全服务器的认证，并利用WebST安全通道传输数据。
    3）在和平里机房和上地机房，分别配置一个WebST NetSEAL服务器，分别保护本地的服务器的FTP、TELNET和Email的相关端口。NetSEAL服务器将在用户提交FTP、TELNET和Email服务时，根据用户提供的身份凭据，在确认用户具有对这些服务的访问权限之后，代理用户的访问请求，并与NetSEAT一起，在应用服务器和应用客户端之间建立一条安全的通信信道，保证数据在网络上的传输安全。
    4）在办公区的桌面机上，根据需要安装配置NetSEAT安全客户端软件。如果用户有通过FTP、TELNET对网站服务器进行维护的权限，则必须安装该客户端软件。如果用户要发送或接收包含有重要内容（如用户帐号）的电子邮件，也必须安装该客户端软件。
    此外，必须在防火墙上配置：
    1）在机房与Internet接口的防火墙上配置：
    · 只开放一些必须的服务，如HTTP服务、EMail服务等。
    · 所有的FTP、TELNET服务都拒绝访问（如果机房内有特定的主机需要对Internet开放FTP服务，可以在防火墙上单独配置该主机的FTP端口）。
    · 针对邮件服务器，因为该邮件服务器必须与Internet上其它邮件服务器交互邮件，所以必须对Internet开放其邮件服务端口（包括POP3、SMTP等）。
    · 禁止对NetSEAL服务器的任何访问。
    2）在机房与办公区接口的防火墙上配置：
    · 允许办公区对NetSEAL服务器的FTP、TELNET和Email服务的访问；
    · 拒绝办公区对其它任何服务器的FTP、TELNET服务的访问；
    · 允许办公区对内部邮件服务器的访问。（此规则有待商议，主要取决于???网站对邮件的管理粒度，在此以不需要严格控制制定规则）

    4. 安全效果
    通过前面 WebST服务器和防火墙规则的配置，可以达到以下的安全效果：
    1）可以控制来自Internet的用户只能访问到机房内的HTTP服务、Email服务和特定服务器的FTP服务，而不允许访问其他任何服务，也不允许对NetSEAL服务器的任何访问；
    2）可以控制办公区内的用户不能直接访问到机房内的FTP、TELNET服务器，而只能通过NetSEAL服务器代理访问，由WebST为其提供可靠的安全服务。
    · 当用户试图不启动NetSEAT客户端软件而直接访问机房内的FTP、TELNET服务器时，防火墙将禁止其访问连接；
    · 当用户启动NetSEAT客户端软件之后，一旦用户提出对机房内的FTP或TELNET访问请求，则：
    a) NetSEAT捕获该访问请求；
    b) NetSEAT判别用户是否是合法用户，如果用户没有通过认证，要求用户到WebST
    安全服务器去认证，取得一个身份凭据，如图3中粉红色 ① 号箭头线所示；此认证过程采用了Kerberos V5身份认证机制，
    c) NetSEAT根据用户要访问的应用服务器和NetSEAT客户端的配置，与相应的NetSEAL服务器建立连接，建立安全信道，代理用户的访问。如果用户访问上地的FTP服务器，则NetSEAT将与上地机房里的NetSEAL服务器连接；如果用户访问和平里的FTP服务器，则NetSEAT将与和平里机房里的NetSEAL服务器连接。
    这样，包括用户登录FTP、TELNET服务器时输入的用户名、口令和在此之后的数据在网上传输时，都将始终通过在NetSEAT客户端和位于机房的NetSEAL服务器之间的安全信道传输，如图3中红色②号线所示；
    d) NetSEAL服务器根据预先设置的安全规则，判断是否允许用户继续其访问请求。如果允许，NetSEAL服务器代理用户对应用服务器的访问请求，如图3中蓝色③号线所示。否则，NetSEAL服务器终止该访问请求。
    3）办公区的用户在访问邮件服务器时，可以使用安全信道，也可以不使用安全信道：
    · 当用户发送或接收的数据不重要时，可以不启动NetSEAT，这时用户可以直接通过防火墙访问邮件服务器，如图3中黑色④号线所示。
    · 当用户需要发送或接收包含重要数据的邮件时，必须启动NetSEAT（通过行政管理要求），这时用户的访问过程和前面的FTP访问是一样的。
    · 用户如果安装了NetSEAT客户端，可以一直通过NetSEAT来发送/接收邮件。
    4）所有用户将在WebST安全服务器上拥有一个用户身份，由WebST为受保护的应用服务器提供一个统一的安全入口，加强应用服务器自身的安全。当用户访问受保护的应用服务器时，必须首先通过WebST的身份认证，然后利用WebST提供的安全通道访问应用服务器，包括应用服务器自身的身份认证过程和数据在网上的传输。
    这里我们考虑到为办公区内的一般用户（没有安装NetSEAT客户端的用户）提供对邮件服务器的方
    便访问，在防火墙上没有限制对邮件服务器的访问，因此，必须通过对员工的培训、教育，要求用户在发送、接收重要邮件时，自动启用NetSEAT来保证数据的传输安全。否则，可以通过在防火墙上的配置，禁止对邮件服务器的直接访问，强制要求所有用户必须安装NetSEAT客户端软件，通过NetSEAT发送、接收邮件。

    5. 总结
    555网站运行维护的主要安全需求是保证用户在通过FTP、TELNET等操作对网站进行维护时，数据在网络上传输的安全可靠。同时，需要建立一套安全的身份认证机制来保证555网站的维护管理的安全。本方案结合555网站现有的防火墙设备，采用清华得实网络安全技术公司的WebST应用安全平台，设计了一个满足555网站运行维护安全需求的安全方案，主要从建立WebST身份认证体系，保证内部员工进行FTP、TELNET和Email等操作的数据传输安全等角度考虑本方案。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表