一种基于云计算网站安全防护系统探究和实现.docx

一种基于云计算网站安全防护系统探究和实现 【摘要】本文利用云计算为企业网站提供了一种一 站式的安全解决方案，设计了一种网站安全防护系统 CloudFence。该系统使得网站处在CloudFence云平台实时 保护中，极大减少了用户的使用和维护成本。同时 CloudFence综合采用跨地域、跨运营商智能DNS调度、页面 优化、页面缓存等技术，能够进一步提升网站访问速度，降 低故障率，从而整体上提升了网站的用户体验。 【关键词】云计算；网站安全防护；智能DNS 1?研究背景 在信息化迅猛发展的今天，金融网络化、电子化已经是 不可抗拒的大势，许多银行已经在网络开设了重要应用。而 相应的，各种木马、病毒、钓鱼、僵尸网络等安全威胁也接 踵而来。据国家互联网应急中心的统计数据显示，2012年， 中国内地共有近3.5万家网站被黑客挂马、篡改，仿造银行 业务网站的钓鱼网站层出不穷。这些被篡改和挂马网站只是 信息安全冰山上的小小一角，通过标准的漏洞扫描工具检测 就会发现，超过90%的Web应用程序存在安全漏洞，国内绝 大部分银行网站都存在或多或少的安全问题。这些安全问题 不仅会给银行带来巨大的经营风险，导致难以估量的经济损 失，而且会严重影响银行形象，妨碍电子银行和网上银行工 作的正常开展，造成危害更大的社会影响。 为了应对这些安全问题，网站安全需求也在不断的变化 和增长。传统的安全防护方案是由用户购买并部署反病毒软 件、防火墙、入侵检测等一系列安全设备，不仅成本高昂， 对于运营、配置、维护也有着较高的要求，而安全防护的木 桶理论又决定了一旦某个环节有所疏漏，整个安全防护体系 都会功亏一簣。 传统网站安全解决方案的缺点有：成本高昂、部署麻烦、 维护困难，存在带宽瓶颈，串接设备若发生故障影响整个网 络。 2?研究内容 本文的主要研究内容包括如何利用先进的云计算[1-2] 技术，为用户提供一站式的安全解决方案，在线事务处理系 统在“零部署”、“零维护”的情况下，防止诸如XSS、SQL 注入、木马、零日攻击、僵尸网络等各种网站安全问题。同 时，研究如何采用跨运营商智能调度、页面优化、页面缓存 等技术，进一步提升访问速度，降低故障率，从而整体提升 用户体验。 3.系统实现 传统的安全都是一种保镖式的安全，随着用户安全意识 的逐步提升，诸如防火墙、入侵检测系统等安全设备已经得 到了广泛的部署，在这种环境下，攻击者总是会想方设法绕 过安全设备去攻击最终的目标。而蓝盾网站安全云平台 (CloudFence)提供的最大的变化就是利用云安全［3］的理 念，从保镖变成了替身，是思想理念上的变化，将安全以服 务的方式提供给用户。 CloudFence以分布式计算为基础云架构［4］,采用跨运 营商的多线智能解析调度，用户只需将网站的DNS切换到云 平台，云平台会通过DNS智能解析调度将单点Web资源动态 负载至银行各网点的云端节点，用户访问流量被引导至最近 的云端节点，高性能的云端节点可以承载高并发的用户请求 流量，并且通过对请求的动态内容优化压缩，静态内容分布 缓存，为用户提供高质量的CDN服务，加速用户的访问速度。 目前的网站加速技术主要采用squid和nginx,现在有 许多大型的门户网站如SINA都采用squid反向代理技术 来加速网站的访问速度，可将不同的URL请求分发到后台 不同的Web服务器上，同时互联网用户只能看到反向代理 服务器的地址，加强了网站的访问安全。 从最新的技术来看，Nginx已经具备Squid所拥有的 Web缓存加速功能、清除指定URL缓存的功能。同时，通过 对多核CPU的利用，Nginx在加速速度上已经超过Squido 另外，在后端服务器故障转移、安全性、易用性上，Nginx 也有了更多的提升，故采用Nginx来实现CDN服务。 CloudFenc的网络架构主要由两大部分组成，分为中心 和边缘两部分，中心指CloudFence系统中的智能DNS系统, 它主要负责全局负载均衡和请求的重定向。边缘主要指分布 在各地的CloudFence节点，CloudFence节点是内容分发的 载体，主要由安全防护、Web优化、Cache和负载均衡器等 组成。 CloudFence云平台节点采用蓝盾安全扫描系统进行远 程扫描Web服务器存在的Web漏洞，支持检测SQL注入、跨 站脚本攻击、恶意文件上传等多种Web漏洞，并将扫描结果 以报表的形式清晰直观地提交给网站维护人员，及时对已知 缺陷进行修补。 蓝盾安全扫描系统是集网络扫描、主机扫描和数据库扫 描三大扫描技术为一体的集成扫描工具。它适用于对不同规 模的Internet/Intranet环境下的各种网络设备、主机系统、 数据库系统和应用程序等进行安全扫描、安全评估，并提出 相应的安全防护解决方案，帮