邮箱安全服务第6期 | 邮箱自身系统安全的防御部署实践

前面几期我们介绍的是发现邮箱安全问题和分析问题，本期我们介绍一下邮箱系统安全防御及加固手段，可以重点解决邮箱系统通用应用漏洞缺陷防护和邮箱反入侵问题。为解决邮箱系统代码程序设计安全隐患、邮箱系统0day漏洞、网站运维和管理人员安全意识漏洞以及黑客攻击问题。安恒信息将提供Web应用防火墙产品保护您的邮箱系统安全。

部署Webmail安全防御系统

1

邮箱系统通用安全风险

代码设计安全隐患

由于网站研发人员对WEB安全的认知能力有限或者网站开发时间有限，导致Web服务程序存在SQL注入、跨站脚本、源码泄露等漏洞，黑客利用网站Web服务程序的漏洞可以获取WEB服务器的控制权限，轻则篡改网页的内容，重则窃取重要的敏感数据。

0day漏洞

从底层的操作系统到WEB容器、数据库、第三方程序或者插件每年都会爆出致命的0day漏洞，如Nginx目录遍历漏洞、Struts2漏洞、CMS漏洞、JAVA反序列等0day漏洞。黑客能够利用这些致命的0day漏洞入侵Web服务器，获取有价值的信息（如商业机密数据、个人用户信息），破坏一些重要的数据，导置造成系统瘫痪。

邮箱系统运维和管理人员安全意识薄弱

绝大多数网站运维和管理人员的安全意识相对薄弱，对于网站的管理后台使用默认的用户名和密码或者使用的简单的密码，黑客可以采用暴力破解的方式获取用户名和密码。另外针对操作系统、Web服务程序、第三方插件存在的漏洞不能及时修复，黑客可以利用这些漏洞入侵Web服务器。

黑客入侵风险

网上有很多所谓黑客培训班或者说黑客工具使用教程，可以说是非常多这样的信息，而且这些工具使用操作非常简单，任何一个稍微懂计算机技术的人，通过这些工具可以快速的实现对网站的攻击。

2

防御系统部署

邮箱防御系统WAF一共有七种部署模式：透明代理串接模式、反向代理－代理模式、反向代理－牵引模式、旁路监控模式、透明桥模式、透明代理下的HA主备模式、反向代理下的VRRP主备模式。

透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。

部署特点：

1. 不需要改变用户的网络结构，对于用户而言是透明的

2. 安全防护能力强

3. 故障恢复快，可支持Bypass

反向代理 - 代理模式

防护设备WAF采用反向代理模式以旁路的方式接入到网络环境中，需要更改Web应用防火墙的目的映射表，Web应用防火墙映射WAF的业务口地址，将服务器的IP地址进行隐藏。

部署特点：

1. 可旁路部署，对于用户网络不透明，防护能力强

2. 故障恢复时间慢，不支持Bypass，恢复时需要重新将域名或地址映射到原服务器。

3. 此模式应用于复杂环境中，如设备无法直接串接的环境。

4. 访问时需要先访问明御WAF配置的业务口地址。

5. 支持VRRP主备

反向代理 - 牵引模式

可以将防护设备采用反向代理模式以旁路的方式接入到网络环境中，需要在核心交换机上做策略路由PBR，将客户端访问服务器的流量牵引到WAF上，策略路由的下一跳地址为WAF的业务口地址。

部署特点：

1. 可旁路部署，对于用户网络不透明。

2. 故障恢复时间慢，不支持Bypass，恢复时需要删除路由器策略路由配置。

3. 此模式应用于复杂环境中，如设备无法直接串接的环境。

4. 访问时仍访问网站服务器。

5. 支持VRRP 主备

旁路监控审计模式

采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到防护设备WAF上，部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。

透明桥模式

透明桥模式是真正意义上的纯透明，不会改变更改数据包任何内容，比如源端口、TCP序列号，桥模式不跟踪TCP会话，可支持路由不对称环境。

透明代理下的HA主备模式

双机HA模式下，防护设备WAF工作于Active，Standby的模式，即其中一台WAF处于检测防护模式，另外一台WAF处于备用模式，当其中一台WAF所连接的链路或者WAF自身出现故障时，备用的WAF将协商进入检测防护模式。

反向代理下的VRRP主备模式

防护设备WAF在反向代理下通过VRRP协议来协商主备关系，正常情况下只有主机工作，备机不工作，当防护设备WAF主机出现问题时，备机自动切换为主机进行工作。