邮箱自身系统安全的防御部署实践

前面几期我们介绍的是发现邮箱安全问题和分析问题,本期我们介绍一下邮箱系统安全防御及加固手段,可以重点解决邮箱系统通用应用漏洞缺陷防护和邮箱反入侵问题。为解决邮箱系统代码程序设计安全隐患、邮箱系统0day漏洞、网站运维和管理人员安全意识漏洞以及黑客攻击问题。安恒信息将提供Web应用防火墙产品保护您的邮箱系统安全。

部署Webmail安全防御系统

1

邮箱系统通用安全风险

代码设计安全隐患

由于网站研发人员对WEB安全的认知能力有限或者网站开发时间有限,导致Web服务程序存在SQL注入、跨站脚本、源码泄露等漏洞,黑客利用网站Web服务程序的漏洞可以获取WEB服务器的控制权限,轻则篡改网页的内容,重则窃取重要的敏感数据。

0day漏洞

从底层的操作系统到WEB容器、数据库、第三方程序或者插件每年都会爆出致命的0day漏洞,如Nginx目录遍历漏洞、Struts2漏洞、CMS漏洞、JAVA反序列等0day漏洞。黑客能够利用这些致命的0day漏洞入侵Web服务器,获取有价值的信息(如商业机密数据、个人用户信息),破坏一些重要的数据,导置造成系统瘫痪。

邮箱系统运维和管理人员安全意识薄弱

绝大多数网站运维和管理人员的安全意识相对薄弱,对于网站的管理后台使用默认的用户名和密码或者使用的简单的密码,黑客可以采用暴力破解的方式获取用户名和密码。另外针对操作系统、Web服务程序、第三方插件存在的漏洞不能及时修复,黑客可以利用这些漏洞入侵Web服务器。

黑客入侵风险

网上有很多所谓黑客培训班或者说黑客工具使用教程,可以说是非常多这样的信息,而且这些工具使用操作非常简单,任何一个稍微懂计算机技术的人,通过这些工具可以快速的实现对网站的攻击。

2

防御系统部署

邮箱防御系统WAF一共有七种部署模式:透明代理串接模式、反向代理-代理模式、反向代理-牵引模式、旁路监控模式、透明桥模式、透明代理下的HA主备模式、反向代理下的VRRP主备模式。

透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。

部署特点:

1. 不需要改变用户的网络结构,对于用户而言是透明的

2. 安全防护能力强

3. 故障恢复快,可支持Bypass

反向代理 - 代理模式

防护设备WAF采用反向代理模式以旁路的方式接入到网络环境中,需要更改Web应用防火墙的目的映射表,Web应用防火墙映射WAF的业务口地址,将服务器的IP地址进行隐藏。

部署特点:

1. 可旁路部署,对于用户网络不透明,防护能力强

2. 故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。

3. 此模式应用于复杂环境中,如设备无法直接串接的环境。

4. 访问时需要先访问明御WAF配置的业务口地址。

5. 支持VRRP主备

反向代理 - 牵引模式

可以将防护设备采用反向代理模式以旁路的方式接入到网络环境中,需要在核心交换机上做策略路由PBR,将客户端访问服务器的流量牵引到WAF上,策略路由的下一跳地址为WAF的业务口地址。

部署特点:

1. 可旁路部署,对于用户网络不透明。

2. 故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。

3. 此模式应用于复杂环境中,如设备无法直接串接的环境。

4. 访问时仍访问网站服务器。

5. 支持VRRP 主备

旁路监控审计模式

采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到防护设备WAF上,部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。

透明桥模式

透明桥模式是真正意义上的纯透明,不会改变更改数据包任何内容,比如源端口、TCP序列号,桥模式不跟踪TCP会话,可支持路由不对称环境。

透明代理下的HA主备模式

双机HA模式下,防护设备WAF工作于Active,Standby的模式,即其中一台WAF处于检测防护模式,另外一台WAF处于备用模式,当其中一台WAF所连接的链路或者WAF自身出现故障时,备用的WAF将协商进入检测防护模式。

反向代理下的VRRP主备模式

防护设备WAF在反向代理下通过VRRP协议来协商主备关系,正常情况下只有主机工作,备机不工作,当防护设备WAF主机出现问题时,备机自动切换为主机进行工作。

- END -

本文来自企鹅号 - 安恒信息媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CodeSheep的技术分享

利用TICK搭建Docker容器可视化监控中心

性能监控是容器服务必不可少的基础设施,容器化应用运行于宿主机上,我们需要知道该容器的运行情况,包括 CPU使用率、内存占用、网络状况以及磁盘空间等等一系列信息。...

35740
来自专栏张善友的专栏

IIS 7.0的六大安全新特性为你的Web服务器保驾护航

文章来自:WindowsITPro  2009年2月期 当你启用一台Web服务器的时候,你就把你公司的一部分完全展现给了公众,任凭他人摆布。Web服务器上的那些...

247100
来自专栏生信技能树

R包终极解决方案

写在前面: 在如何通过Google来使用ggplot2可视化这篇文章中,我们曾经介绍过R语言在生物信息学中的重要性。 这篇文章也激发了很多小伙伴学习的热情。学习...

69670
来自专栏CodeSheep的技术分享

Docker容器可视化监控中心搭建

293100
来自专栏美团技术团队

Redis高负载下的中断优化

Redis 服务端的总体请求量从年初最开始日访问量百亿次级别上涨到高峰时段的万亿次级别,给运维和架构团队都带来了极大的挑战。

1.3K110
来自专栏吴伟祥

Linux 远程登录:Xshell、SecureCRT、Putty

       Alt + Enter -- 全屏   Alt + B --打开新的连接   Alt + 1/2/3/4/5.../9 -- 切换到第1/2/...

1.2K20
来自专栏自由而无用的灵魂的碎碎念

最近几天玩freebsd奋斗成果总结

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/

13420
来自专栏达观数据

达观数据Docker 集群部署实例

1 docker简介 Docker 是个划时代的开源项目,它彻底释放了计算虚拟化的威力,极大提高了应用的运行效率,降低了云计算资源供应的成本! 使用 Dock...

319100
来自专栏Rainbond开源「容器云平台」

【Docker】Docker学习记录: Shipyard+Swarm+Consul+Service Discover 搭建教程

26060
来自专栏自由而无用的灵魂的碎碎念

实战解决使用ghost安装系统出现的各种问题

昨天使用ghost给人安装系统时,把另一个分区的数据都搞没了,安装完也只剩下一个分区,相信了解的同志们知道是什么原因。

15730

扫码关注云+社区

领取腾讯云代金券