本来前几天在 [使用WEB应用防火墙保护网站安全] 文章末尾曾经提到最近想写数据库安全的文章的，但是Cisco 3560被征用了，所以，还是写另一个热点产品：网络运维管理操作平台。
　　网络运维管理操作平台有什么作用呢？游侠给大家说说：
　　·Unix/Linux行为审计（包括其它类似系统）
　　·Windows操作行为审计
　　·网络设备如防火墙、路由器、交换机的行为审计（基于telnet的）
　　·上述设备的账号管理
　　·上述设备的关键命令审计和阻断
　　设想一个场景：
　　游侠在某个牛叉单位上班（万能的主啊，允许我自恋下吧），手下有N台Linux、Unix、Windows服务器，还有N台路由器、交换机、防火墙、IDS，甚至存储设备！于是，为了防止账号丢失，我得把所有的账号记录在某张纸上，偶尔还会出现1和l、O和0敲错了的情况，于是相当恼火。
　　更让人郁闷的是，某日小型机挂了，让厂家的人来维护，但是给了那丫的账号之后，没及时销毁账号，结果这厮远程“上来看看”的时候把服务器的文件勿删了死不认账

　　前几天也给大家说过WEB应用防火墙，包括软件的和硬件的，今天游侠（http://www.youxia.org）再给大家推荐个产品，当然这个是二合一的，就是：网页防篡改+WEB应用防火墙。比较有特色，好了，废话不说，正文开始：
　　安装就跳过了，相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
　　产品本身有配置向导，可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护，当然如果要求比较高，可以定制策略，下图就是对网站文件进行防护的一个设置：

　　可以看到，可以对文件操作权限进行设置，包括读取、写入、改名、删除等，禁止删除、改名、写入，实际上就实现了网页的防篡改功能。如果是目录的禁止写入，则彻底无法改变网站的任何内容了，适合于需求较高的政府网站。
　　当然，可以对某些文件类型设置信任，如.mdb不禁止写入，这样动态网

　　前几天游侠（http://www.youxia.org）曾经在博客提到，说外交部的网站有跨站脚本漏洞（原文链接：[中国人民共和国外交部网站的一个跨站漏洞]，然后从外交部网站找到管理员的邮箱发了一封邮件，今天得到了回复。

　　信中说此XSS/CSS问题已经修复，上去看看，依然提交以前的测试语句：

 

　　去年的这个时候，游侠(www.youxia.org)认为WAF都是硬件的，后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF，这样的话，一些服务器在机房托管的用户就特别需要这样的产品，因为1U的设备在电信机房的托管费用都有几千到上万，价格和便捷性的优势一下子就出来了……
　　拿到了厂家发过来的测试版，迫不及待的装上试试！
　　测试环境：
　　·Windows Server 2003
　　·IIS 6.0
　　·某有漏洞的ASP内容管理系统
　　这款软件的WAF部署实际上比较简单的，并且是纯绿色软件……不需要下一步，也不需要点安装协议，直接拷贝文件到某个目录下面，配置权限，在IIS或其它的WEB Server进行相关配置即可，不难，几分钟即可配置好。过程我就不说了，只谈感想。呵呵
　　可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大，因为里面写的都是配置文件以及配置说明，不过就像很多人喜欢开源的产品，这样的产品配置太自由了……任何过滤规则都可以自定义！充分体现了便捷性和功能强大多数时候不成正比的道理。
　　由于产品基本都是配置文件，我下面贴上几条报警规则，大家看看：

2009-09-11 10:5

　　相信圈子里面的朋友都知道WebRavor了，如果你不知道WebRavor，你总该知道大名鼎鼎的“流光Fluxay”吧？——是的，Fluxay和WebRavor出自一人之手——小榕。
　　安域领创的网站是没有WebRavor下载的，还好，发邮件要了个下载地址……当然，貌似说的是废话，要不也不会有本文出现了 :)
　　但是，评估版的限制很多了，比如，只能扫描http://demo.webravor.com 让人很是不爽……不过话说回来，要是不做这个限制，貌似又和黑客工具差不多了，作为安全软件，原则上是不允许这么做的。
　　下面看看流程吧，如果熟悉流光，那么对WebRavor也不会陌生：

　　依然是右键增加WEB Server地址，然后选择相关的操作。当然，也可以根据向导进行一个扫描，在下图中可以看到，由于我手头的是评估版本，因此地址栏是灰色的。

　　其实这台WEB应用防火墙（WAF）在公司放了很久了，平时看看，但是基本没有静下心来仔细看看。现在到下班还有半个小时，粗略的过一下吧，看看WAF的功能。
　　实际上WAF和传统防火墙的区别比较大，比如传统防火墙一般通过对IP和Port的过滤实现安全性，而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断，如SQL注入攻击、XSS攻击等，下面我举例子看WAF是如何对网站进行防护的。
　　网络的拓扑是这样的：

　　我用的是笔记本电脑，通过交换机到WEB服务器，在服务器前我串接了WAF，是透明接入。说一句：我用的这台WAF透明接入，一个网卡是in，一个网卡是out，还有一个Admin口，部署相当便捷，可以说5分钟就可以调试。用Console线设置下IP地址，就可以通过Admin口用浏览器访问了。
　　我关闭了WAF的阻断功能，就是说，现在虽然WAF部署在WEB服务器前，但是

　　大家应该都记得曾经风靡一时的X-Scan、流光吧？当然与此类似的评估工具还有很多。但是随着技术的发展，现在前面提到的2款安全扫描工具由于偏重于主机系统扫描，但现在WEB服务器、数据库服务器、业务服务器前一般都部署了防火墙、入侵检测等系统，因此并不容易扫描出有效的漏洞。因此，网上应用安全扫描平台应运而生。
　　当然，做WEB应用扫描的话，需要较深的技术功底，就目前最流行的攻击手法而言，是：SQL注入、跨站、表单绕过。当然在这里就SQL注入也细分很多种，跨站也是了。游侠（http://www.youxia.org）到厂商要了个测试账号。下面给大家一起看看！
　　当然，利用网上应用安全扫描平台对网站进行安全评估的过程和X-Scan、流光的差不多，但是由于产品包含有渗透测试模块，因此为了防止误用、滥用，增加了审核模块。在网上平台提交了需要扫描的对象后，需要下载一个特征码文件，传到WEB服务器上，认证后才能通过！
　　下图是第一步，增加一个扫描对象。我们可以看到只要输入网站名称、URL、网站类型即可。很简单。

　　本文使用的是从某数据库安全厂家获取的数据库扫描系统，版本不是最新的，不过应该可以代表产品的设计思路和其在相关领域的技术实力。
　　数据库扫描的初期，一般都是确认评估范围，本产品也不例外。添加任务有两种方法：一是直接输入数据库的详细信息，二是对网络进行扫描，确认网内数据库的总量。

　　相对于网上Nessus、NMAP等评估工具，本款数据库扫描产品更像是一款安全测试工具，因为在对数据库进行安全评估的时候，不但要输入通用的IP、端口，更要输入数据库系统的账号，甚至操作系统的账号（这样就可以审核用系统账号登录数据库系统情况下的安全性）。
　　扫描速度理所当然的相当快，因为就技术而言，数据库的漏洞并不像主机那么多，检测项目也没有那么多，因此速度较快。下面是评估报告，当然这仅仅是主要描述部分，并不是细节描写。

　　其实Symantec的SEP已经出来很久了，看上去不错，但是一直没看。前几天出差，在长途车上的功夫，装了下。说说感受吧！

　　1、安装简便！这个最重要。Manager程序10分钟就搞定，因为最近也在测试McAfee的VirusScan和AntiSpyware等，所以感觉Symantec的SEP部署相当的简洁易懂。

　　2、轻量。相对于McAfee ePo的庞大身躯，并且安装完还要无休止的升级，Symantec SEP明显要轻松很多，不知道和我用的是试用版有关系没，只有400M。

　　3、界面简单。想要找什么，一眼就看到了，无需翻来覆去的找菜单。这一点比Kaspersky、McAfee做的好，不过还不如瑞星、江民、金山的网络版，但是作为SEP功能要强悍很多，也情有可原！

　　今天我其实主要是想说下SEP的IPS功能的。前几天在评估某个网站安全性的时候，总是扫描一点就断掉，以为是Cisco的PIX组断掉了，后来直接拿了条网线插到和服务器一起的傻瓜交换机上，发现依然如此！Windows的ICF是不会过一段断掉的，所以……看了下，服务器装了SEP，于是今天我也说说S

　　移动存储介质管理系统是一款针对U盘、移动硬盘的数据防泄漏软件。
　　移动存储介质管理系统可以做什么呢？
　　
　　1、可以指定全部安装了客户端的计算机、某个部门的计算机、某台计算机是否可以用U盘和移动硬盘
　　2、可以指定U盘和移动硬盘只读
　　3、可以选择是否开启U盘和移动硬盘的授权，只有经过管理员授权的U盘和移动硬盘才能使用
　　4、将移动存储介质转换为安全格式后，该移动存储介质脱离单位环境将无法使用
　　5、可以对移动存储介质上文件的创建、读取、删除、改名、拷贝等进行记录、报警
　　6、可以禁止用户操作U盘和移动硬盘上的文件
　　移动存储介质管理系统发布地址：
　　http://www.youxia.org/2009/06/UsbMonitor.html
　　移动