互联网网络安全标准(互联网网络安全漏洞端口防火墙)「互联网安全防护」

企业越来越多的应用暴露在互联网上，如官方网站、业务系统、APP、小程序等等，暴露在互联网的系统天然容易遭受攻击，网络安全难以得到保障，这些应用系统通常部署于企业网络环境的DMZ区，另外对于中小企业而言由于业务需求可能将业务系统部署在公有云上进行公开访问
这两种形式可以被访客和有权限的人访问，也可以被黑客和恶意人员组织访问，更可以被全球扫描器如shodan、zoomeye、fofa等网络空间搜索引擎搜索，也能够被网络安全监管单位如网信办、公安、卫健局、教育局、大数据等行业主管部门利用扫描器监管
那互联网应用该如何应对这些网络安全风险与合规？暴露面越大越容易被攻击越难以防守1.攻击面管控：端口开放与禁止：互联网应用从网络安全访问控制角度看，web应用服务器应该只允许80和443端口，其他端口一律不对外开放
web服务器访问控制：一律不允许web服务器主动往外建立连接或者主动访问互联网，也不允许DMZ区域访问内网区域
运维管控：管理人员为了方便维护，通常将服务器的SSH、RDP、Telnet的22、3389、23端口等对外开放，实际这种行为很危险，一方面协议如OPENSSH可能存在漏洞，另一方面知道密码即可登录是非常危险的，或者遭受暴力破解
网络安全运维人员一旦将管理端口开放到互联网通常会出现大量的登录失败日志，这很明显是遭受过攻击
数据库等服务器管控：Mysql服务器、Redis服务器、Mongodb、FTP等服务器作为后端服务器更不应该对互联网开放任何端口，通常仅对web服务器开放相应的端口，否则一旦暴露在互联网数据很可能遭受拖库和漏洞利用，比如Redis未授权访问漏洞，FTP提权，账户口令被爆破等
2.端口开放扫描：采用nmap以及masscan进行端口开放扫描，两款工具扫描方法不再赘述，大家可自行搜索安装与使用
也可以使用商业的资产安全管理系统去进行端口开放扫描
商业化产品相比nmap和masscan来说具备管理性，即可以定义策略让产品周期性自动化执行扫描任务发现端口开放的变更情况并且记录，同时在产品管理界面上可以随时查看，相比excel表格管理来说好很多
总而言之我们要从攻击者的视角去验证互联网应用到底开放了哪些端口
商业化产品周期性监控资产暴露面3.web应用安全防御：web应用安全非常重要，因为对互联网开放的80端口与443端口可以被攻击者直接访问，首先是中间件如tomcat、weblogic均存在过漏洞可能被攻破，其次是使用的第三方组件或者框架均存在过漏洞可能被攻破，再次是自开发的代码部分也可能存在各类漏洞被攻破
因此web应用安全非常重要，我们需要重点考虑
具体的漏洞风险可以参考owasp的风险TOP10
通常来说web应用安全首先考虑防御的问题，即部署web应用防火墙，部署web应用防火墙使用哪种类型的web应用防火墙应根据企业自身情况综合考虑，因为开源web应用防火墙、硬件防火墙、云防御（云web应用防火墙）均有其优缺点
开源web应用防火墙或者基于ngnix web应用防火墙：优点是免费，缺点是防御漏洞的规则库需要维护，尤其是业内爆发出新的漏洞时
硬件web应用防火墙：优点是可以防御内网系统，一般采用透明串联部署或反向代理部署
缺点是透明串联部署简单但是无法对https进行解密防御，且一次性资金投入稍大
云web应用防火墙：优点是同时具备抗DDOS、防御bot、CDN加速、web应用防火墙等多功能，且防御能力比开源的和硬件的要强很多，并且免运维，本质上属于saas反向代理web应用防火墙，通常按年进行资金投入
缺点是仅能防御互联网系统，内网系统无法防御
web应用安全实时防御4.web应用安全检测：基于流量检测进行攻击与威胁检测：采用IDS或威胁感知系统进行web应用安全监测（公有云不适用），安全无绝对，web应用安全防御未必能全部防御所有攻击和威胁，需要有检测手段来进行全方面补充
检测的流量最好是DNAT之后的流量，可以把web应用服务器的流量镜像至流量检测设备如IDS与威胁感知系统
一方面可以检测防御手段是否存在漏拦截情况，二方面可以从行为手段检测服务器是否被入侵成功与沦陷
漏洞扫描：使用漏洞扫描器对web服务器进行漏洞扫描，由于对互联网开放的只有80和443，建议使用专门的web漏洞扫描器扫描漏洞，自写代码的漏洞检测率比普通漏洞扫描器高出不少
渗透测试：有条件的企业可以进行渗透测试，可以自行渗透也可以请三方网络安全公司来做渗透测试，虽然目的都是发现漏洞并修复，但渗透测试能够测试出业务逻辑方面的漏洞，而漏洞扫描器难以做到，渗透测试通常是白帽安全专家模拟黑客进行测试
5.主机安全：通常使用主机HIDS部署于主机来检测主机是否存在安全风险，与防御手段、web应用安全检测手段二者一起组成互联网网络安全纵深防御系统，主机安全手段偏向于检测主机行为、进程、注册表、文件释放、主机上病毒木马查杀、webshell识别、账号破解、账号增加、主机通信等一系列主机行为的检测