http/https 网络安全应用分析

web服务器是企业中最常受到攻击的对象，关于web服务器的在公司网路的设计与部署是个很值得探讨的话题，我们这这就好好说下。先看图

 

这个是简单的2层web设计，我们先从攻击的角度看主web服务器和应用数据服务器在同一个网段，这意味这攻击者必须首先攻下防火墙或者web服务器，才能与应用数据进行直接通信，也就是说攻击者只要控制了web服务器不费力气就可以控制应用数据服务器（在同一个网段）即使是pvlan也不起作用。我们显然丢失了服务器分段带来的好处，最好的做法是我们把服务器放在防火墙分割的接口上，这样即使是控制了web服务器，他也需要返回防火墙攻击到应用数据服务器，这就是这张拓扑图的设计意义。

内部接口的入站方向

access-list 101 deny   tcp any host 192.0.3.10 eq www
access-list 101 permit tcp 192.168.100.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.100.0 0.0.0.255 any eq 443

外部接口的入站方向

access-list 102 permit tcp any host 192.0.2.55 eq www
access-list 102 permit tcp any host 192.0.2.55 eq 443
access-list 102 deny   tcp any host 192.0.3.10 eq www
access-list 102 deny   tcp any host 192.0.3.10 eq 443

p1的入站方向

access-list 103 permit tcp host 192.0.2.55 host 192.0.3.10 eq www
access-list 103 permit tcp host 192.0.2.55 host 192.0.3.10 eq 443
access-list 103 deny   tcp any any
access-list 103 deny   tcp any any eq www
access-list 103 deny   tcp any any eq 443

 

 

p2的入站方向

access-list 104 permit tcp host 192.0.3.10 host 192.0.2.55 eq www
access-list 104 deny   tcp any any eq www
access-list 104 deny   tcp any any eq 443

我们再看下3层web设计案例

 

设计要求：1.只允许外部网络访问web服务器

                   2.允许web服务器访问应用数据服务器

                  3. 应用服务器只响应web服务器的请求

                  4. 允许应用服务器向数据库服务器发送请求

                  5. 数据库服务器只响应应用服务器

                  6.内部网络只可以访问web服务

FW-1外部接口的 in方向

access-list 101 permit tcp any host 192.0.2.53 eq 80
access-list 101 permit tcp any host 192.0.2.53 eq 443
access-list 101 deny tcp  any any eq 80   
access-list 101 deny tcp  any any eq 443 

FW-1边界接口 in 方向
access-list 102 permit tcp host 192.0.2.53 host 192.0.3.3 eq 80
access-list 102 deny tcp any any any  eq 80
access-list 102 deny tcp any any any  eq 443

FW-1内部边界接口的in方向

access-list 103 permit tcp host 192.0.3.3 host 192.0.2.53  eq 80
access-list 103 deny tcp any any eq 80
access-list 103 deny tcp any any eq 80

 

access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 80
access-list 104 permit tcp host 192.0.3.3 host 192.0.4.25 eq 443
access-list 104 deny tcp  any any eq 80   
access-list 104 deny tcp  any any eq 443

FW-2边界接口的in方向

access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 80
access-list 105 permit tcp host 192.0.4.25 host 192.0.3.3 eq 443
access-list 105 deny tcp  any any eq 80   
access-list 105 deny tcp  any any eq 443

FW-2内部接口的in方向
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 80
access-list 106 permit tcp 10.0.2.0 0.0.0.255 host 192.0.2.5. eq 443
access-list 106 deny tcp  any any eq 80   
access-list 106 deny tcp  any any eq 443

由于防火墙的自适应性我们在FW-1内部接口，FW-2的外部接口只需打上

access-list 10*deny tcp  any any eq 80   
access-list 10* deny tcp  any any eq 443

上面两个例子只是对http安全的一些设置一个公司或者一个网络不可能只有一台服务器，还有邮件服务器，DNS服务器等，我们只需记住这个方法明白我们需要设置的目的，极其我们需要开设那些服务为那些用户。列出目的条目，我们可以编写出相应的安全策略，这点是作为网络安全工程师所必备的！

本文转自q狼的诱惑 51CTO博客，原文链接：http://blog.51cto.com/liangrui/502760，如需转载请自行联系原作者