第55章 网络阻击战（2/2）

他指着新部署的 emc cx200存储柜，“三个月前的邮件自动迁移到磁带库，在线数据用 raid5+1做冗余。”

小张则在 cisco pix防火墙后加了层 mailmarshal邮件网关，每封进出邮件都要经过病毒扫描和关键词过滤。

后台日志里，“敏感词拦截”的条目在第一周就突破了五千条。

游戏业务的防护方案引发了最激烈的争论。

当时网益刚代理《精灵》不久，老谭坚持要在游戏服务器前部署 iss realsecure入侵检测系统：“玩家的账号数据存在 sql server里，一旦被注入攻击，装备被盗的玩家能把客服电话打爆。”

我却更担心分布式拒绝服务攻击。

最终说服团队采购了 f5 big-ip负载均衡器，能在 10秒内识别异常流量并切换到备用节点。

安妮被派去整理游戏日志。

在满屏的代码里挑出可疑登录记录，铅笔尖在“凌晨三点从美国 ip登录的中国账号”上画了无数个圈。

新闻网站的防护带着鲜明的时代印记。

我们给 apache服务器加装了 modsecurity模块，用正则表达式过滤掉包含恶意脚本的 url请求。

老谭盯着实时访问量曲线：“得把静态页面缓存到 squid服务器上，不然国庆阅兵时的流量能冲垮数据库。”

最棘手的是评论区。

jackson写了段 perl脚本，能自动替换掉骂人的话，却总在“皿煮”这类谐音词前失效。

最后只好让编辑轮班人工审核，后台系统的刷新键被按得掉了漆。

bbs的安全加固堪称 2001年网络技术的集大成者。

小张在 freebsd系统里编译了最新的 openssh补丁，杜绝远程登录漏洞；

我则给用户密码加了 md5哈希加盐处理，即使用户数据库泄露，黑客也解不出原始密码。

最绝的是老谭想出的招：给频繁发广告的账号设置“发言冷却时间”，这个用 php写的小程序后来被国内多家论坛借鉴。

安妮把它记在笔记本上，标题栏写着“网安小发明”。

短信增值业务的防护要跨越多重网络。

当时网益和移动的网关对接用的是 smpp协议。

我们在中间加了台 hp alpha服务器做消息转发，所有短信内容先经过 sybase数据库的关键词过滤。

jackson拿着电信局给的安全规范：“这里写着必须用 vpn加密传输，华为的防火墙正好支持 ipsec隧道。”

调试那天，广州的短信网关突然断连。

我们对着 wireshark抓包工具看了整夜，才发现是 mtu值设置不当导致的分片丢失。

内部 oa系统的加固带着点“自己人防自己人”的意味。

lotus domino服务器被限制只能在局域网访问，远程办公必须通过 radius认证的 vpn。

我给每个部门设置了权限矩阵，市场部看不到技术部的服务器密码，管理层的报销单需要双人审批。

最细枝末节的是打印机。

老谭坚持要给每台 hp激光打印机设置 ip绑定，防止有人偷偷接入打印内部文件。

这个现在看来多余的举动，在当时却让审计部门大加赞赏。

6月初的某个傍晚。

我看着新部署的 check point防火墙日志，里面记录着被拦截的攻击尝试——平均每秒 17次。

jackson把一杯冰镇可乐放在我面前，罐子上的水珠滴在刚打印出来的网络安全评估报告上，晕染了“防御体系升级完成”几个字。

远处的客服中心传来键盘敲击声。

安妮抱着整理好的技术文档进来。

在“2001年安全加固清单”最后一页，她用红笔写了行字：“没有绝对的安全，只有不断升级的防线。”

窗外的梧桐叶落在机房的空调外机上，发出沙沙的声响，像在为这场持续了半年的网络防御战轻轻鼓掌。

我想起王伟的歼- 82战机坠入南海时，黑匣子最后传回的信号。

此刻机房里服务器的蜂鸣声，或许是另一种形式的守护——在代码构筑的阵地上，我们同样在用生命扞卫着什么。