前幾期大概講述了安全體系架構(gòu)的概述以及管理層面的安全體系架構(gòu)，這一期來講講業(yè)務(wù)在設(shè)計(jì)時(shí)制定安全架構(gòu)的落地實(shí)施。

一、 確定業(yè)務(wù)接口因?yàn)闃I(yè)務(wù)的特殊性，業(yè)務(wù)接口可能不止是web層面的，有些業(yè)務(wù)為了保證傳輸速率甚至有可能是udp協(xié)議傳輸，也有些業(yè)務(wù)走的是socket協(xié)議，首先就是要確定你的業(yè)務(wù)接口走的是什么協(xié)議，以下以TCP-HTTP協(xié)議為主，其他協(xié)議的架構(gòu)安全會(huì)在后期敘述。

二、 業(yè)務(wù)邏輯設(shè)計(jì)通過上面步驟確定好了業(yè)務(wù)接口后，需要按照業(yè)務(wù)的邏輯去設(shè)計(jì)架構(gòu)（以下均為http接口設(shè)計(jì)架構(gòu)），舉例，某業(yè)務(wù)分為以下幾點(diǎn)，API接口與客戶對接，靜態(tài)資源展示企業(yè)信息，管理接口對應(yīng)企業(yè)內(nèi)部人員審核等工作，客戶接口對應(yīng)客戶的管理工作。

在資金并不充足的情況下（不投入廠商安全設(shè)備），那么對應(yīng)的架構(gòu)應(yīng)該如何設(shè)計(jì)呢？邏輯架構(gòu)圖（可用性部分）：首先要有代理服務(wù)器，保證應(yīng)用服務(wù)器不會(huì)直接暴露在公網(wǎng)上。

其次要有日志服務(wù)器，匯總應(yīng)用日志與攻擊日志，防御服務(wù)器可以自己組建，各種腳本的匹配來確定請求是否合法。

由互聯(lián)網(wǎng)訪問的請求首先經(jīng)過代理服務(wù)器，這么做的好處在于會(huì)保護(hù)應(yīng)用服務(wù)器的真實(shí)IP與端口，舉個(gè)例子，應(yīng)用服務(wù)器對外接口是443，那么在代理服務(wù)器僅需要代理443端口對應(yīng)應(yīng)用服務(wù)器的443端口，其他端口全部封閉，那么應(yīng)用服務(wù)器上多余的端口是在互聯(lián)網(wǎng)無法掃描到的，另外代理服務(wù)器上僅做轉(zhuǎn)發(fā)，性能上消耗會(huì)很小，一臺應(yīng)用服務(wù)器上跑一個(gè)應(yīng)用，然后通過代理服務(wù)器匯總，會(huì)很大程度上方便人員進(jìn)行統(tǒng)一管理，不會(huì)造成應(yīng)用堆砌的現(xiàn)象。

通過代理服務(wù)器轉(zhuǎn)發(fā)進(jìn)來的請求，首先進(jìn)行行為異常分析，此處可以是使用廠商設(shè)備，也可以自研腳本，根據(jù)經(jīng)費(fèi)情況自行選擇合適的方案。

關(guān)于防御服務(wù)器，有幾點(diǎn)想跟大家分享，第一是WAF，第二是防CC攻擊。

首先WAF我們都知道是通過正則表達(dá)式做內(nèi)容匹配，如果內(nèi)容匹配上則判定為攻擊，那么就會(huì)產(chǎn)生三個(gè)問題：第一是正則的繞過第二是正則的業(yè)務(wù)阻斷第三是正則書寫本身的bug

第一點(diǎn)舉個(gè)例子好了，目前開源的WAF中規(guī)則寫的不錯(cuò)的就是modsecurity了，以它舉例，規(guī)則基本上每周都會(huì)有更新，但是繞過方法還是屢見不鮮，沒有哪種防御是能完全阻斷攻擊的，總會(huì)有各種各樣沒有被發(fā)現(xiàn)或已經(jīng)被發(fā)現(xiàn)的漏洞，時(shí)常關(guān)注信息，及時(shí)查漏補(bǔ)缺方能在一定程度上體現(xiàn)安全性。

第二點(diǎn)是所有WAF的一個(gè)硬傷，因?yàn)闃I(yè)務(wù)是不固定的，隨時(shí)可能有業(yè)務(wù)信息觸發(fā)了WAF的規(guī)則而導(dǎo)致業(yè)務(wù)阻斷，這也是為什么知名廠商WAF要先觀察一段時(shí)間調(diào)優(yōu)后才能開啟阻斷的原因。

第三點(diǎn)還是以modsecurity舉例，畢竟是開源代碼都能看到，正則表達(dá)式本身因?yàn)闀鴮懙膯栴}，會(huì)有很多模糊匹配或者聯(lián)合匹配，當(dāng)這些匹配內(nèi)容過大的時(shí)候就會(huì)因?yàn)樽兿郉oS攻擊，這在modsecurity3中也是被證實(shí)的，同樣的問題在日志寫入的時(shí)候也會(huì)發(fā)生，導(dǎo)致i/o讀寫通道堵塞引起的DoS攻擊同樣在modsecurity2中被證實(shí)。

安全無止境，并不是設(shè)備的堆砌，腳本的堆砌就能保證業(yè)務(wù)的安全可用，這點(diǎn)是我通過以上3個(gè)問題重點(diǎn)想要說的。

關(guān)于防CC攻擊，一般的防CC設(shè)置是判定為是CC攻擊，阻斷，而非丟棄，這塊我有不同的看法，假如說一個(gè)正常訪問請求我響應(yīng)需要100k的相應(yīng)包，一個(gè)阻斷包（返回403或自定義頁面）假設(shè)需要5k，但是流量還是通過入口進(jìn)來了，尤其是云服務(wù)器有的可能是按量付費(fèi)，那我們是不是應(yīng)該思考一下如何讓非法流量不能通過入口進(jìn)來？傳統(tǒng)的抗DDoS設(shè)備做的流量清洗或者黑洞閥值不會(huì)設(shè)置的很低，那么這塊要如何做？后期我會(huì)分享出來我的解決辦法。

三、 業(yè)務(wù)架構(gòu)圖設(shè)計(jì)根據(jù)邏輯架構(gòu)圖來制定業(yè)務(wù)的整體現(xiàn)實(shí)架構(gòu)（可用性部分）通過負(fù)載均衡實(shí)現(xiàn)代理服務(wù)器的雙活，大程度保證訪問不會(huì)中斷，同時(shí)應(yīng)用服務(wù)器使用主備雙服務(wù)器，數(shù)據(jù)庫也是主備雙活，很大程度上保證了業(yè)務(wù)的可用性，防御服務(wù)器集群用來分析入侵行為，日志服務(wù)器用來匯總業(yè)務(wù)相關(guān)的所有日志。

當(dāng)然防御服務(wù)器集群是至少3臺以上，并且每臺都會(huì)向下兼容應(yīng)用服務(wù)器，這么做的目的在于，行為分析是十分耗資源的一件事，搭建集群會(huì)降低單一服務(wù)器的運(yùn)算壓力，并且不用擔(dān)心出現(xiàn)單點(diǎn)故障。

同時(shí)保證每個(gè)業(yè)務(wù)接口的入口均為獨(dú)立入口，這樣可以將業(yè)務(wù)分離出來，也方便防御服務(wù)器做單一業(yè)務(wù)的規(guī)則，保證規(guī)則的準(zhǔn)確性。