第55章 网络阻击战（2/2）

他指着新部署的EMCCX200存储柜，“三个月前的邮件自动迁移到磁带库，在线数据用RAID5+1做冗余。”

小张则在CisPIX防火墙后加了层MailMarshal邮件网关，每封进出邮件都要经过病毒扫描和关键词过滤。

后台日志里，“敏感词拦截”的条目在第一周就突破了五千条。

游戏业务的防护方案引发了最激烈的争论。

当时网益刚代理《精灵》不久，老谭坚持要在游戏服务器前部署ISSRealSecure入侵检测系统：“玩家的账号数据存在SQLServer里，一旦被注入攻击，装备被盗的玩家能把客服电话打爆。”

我却更担心分布式拒绝服务攻击。

最终说服团队采购了F5BIG-IP负载均衡器，能在10秒内识别异常流量并切换到备用节点。

安妮被派去整理游戏日志。

在满屏的代码里挑出可疑登录记录，铅笔尖在“凌晨三点从美国IP登录的中国账号”上画了无数个圈。

新闻网站的防护带着鲜明的时代印记。

我们给Apache服务器加装了ModSecurity模块，用正则表达式过滤掉包含恶意脚本的URL请求。

老谭盯着实时访问量曲线：“得把静态页面缓存到Squid服务器上，不然国庆阅兵时的流量能冲垮数据库。”

最棘手的是评论区。

Ja写了段Perl脚本，能自动替换掉骂人的话，却总在“皿煮”这类谐音词前失效。

最后只好让编辑轮班人工审核，后台系统的刷新键被按得掉了漆。

BBS的安全加固堪称2001年网络技术的集大成者。

小张在FreeBSD系统里编译了最新的OpenSSH补丁，杜绝远程登录漏洞；

我则给用户密码加了MD5哈希加盐处理，即使用户数据库泄露，黑客也解不出原始密码。

最绝的是老谭想出的招：给频繁发广告的账号设置“发言冷却时间”，这个用PHP写的小程序后来被国内多家论坛借鉴。

安妮把它记在笔记本上，标题栏写着“网安小发明”。

短信增值业务的防护要跨越多重网络。

当时网益和移动的网关对接用的是SMPP协议。

我们在中间加了台HPAlpha服务器做消息转发，所有短信内容先经过Sybase数据库的关键词过滤。

Ja拿着电信局给的安全规范：“这里写着必须用VPN加密传输，华为的防火墙正好支持IPSec隧道。”

调试那天，广州的短信网关突然断连。

我们对着Wireshark抓包工具看了整夜，才发现是MTU值设置不当导致的分片丢失。

内部OA系统的加固带着点“自己人防自己人”的意味。

LotDoo服务器被限制只能在局域网访问，远程办公必须通过RADIUS认证的VPN。

我给每个部门设置了权限矩阵，市场部看不到技术部的服务器密码，管理层的报销单需要双人审批。

最细枝末节的是打印机。

老谭坚持要给每台HP激光打印机设置IP绑定，防止有人偷偷接入打印内部文件。

这个现在看来多余的举动，在当时却让审计部门大加赞赏。

6月初的某个傍晚。

我看着新部署的CheckPot防火墙日志，里面记录着被拦截的攻击尝试——平均每秒17次。

Ja把一杯冰镇可乐放在我面前，罐子上的水珠滴在刚打印出来的网络安全评估报告上，晕染了“防御体系升级完成”几个字。

远处的客服中心传来键盘敲击声。

安妮抱着整理好的技术文档进来。

在“2001年安全加固清单”最后一页，她用红笔写了行字：“没有绝对的安全，只有不断升级的防线。”

窗外的梧桐叶落在机房的空调外机上，发出沙沙的声响，像在为这场持续了半年的网络防御战轻轻鼓掌。

我想起王伟的歼-8Ⅱ战机坠入南海时，黑匣子最后传回的信号。

此刻机房里服务器的蜂鸣声，或许是另一种形式的守护——在代码构筑的阵地上，我们同样在用生命扞卫着什么。