在绝大多数人看来,网络安全似乎是一个较为深奥的话题,如何规划组织的安全建设、制定安全策略、洞悉安全问题,都给IT管理者的工作增加几分难度。
很多用户都会思考,为什么已经部署了安全设备,当面对黑客发出攻击时,却仍然束手无策呢?让我们通过下面的案例来向您展示原因到底是什么。
部署了安全设备为什么还受攻击?
某单位信息中心的副主任是由其他部门调职过来,主管信息化建设方面的工作。任职不久便遇到一件非常棘手的事情,单位的网络被攻击瘫痪,导致内部办公人员无法上网,同时对外网站在公网用户访问时也时断时续。为了能够尽早解决问题,该副主任率队进行了彻夜的排查。
传统防火墙形同虚设
首先对主要的安全设备-传统防火墙进行了排查,翻阅十几页日志后发现大部分都是对端口通信的记录,很难从中发现什么问题。为什么有了防火墙,还是会受到攻击呢?
图1 某厂商传统防火墙界面
IPS似乎没有配置任何策略
防火墙作为访问控制设备,没有发现攻击还可以理解。接下来,副主任率队又对同期采购的入侵防御系统(IPS)进行了详细的日志分析。令人意想不到的是,入侵防御居然也没有发现什么问题。
图2:某厂商IPS设备界面
经过排查,最终发现根本原因是对于刚购买的入侵防御系统,工程师没有配置正确的策略。比如,添加了IIS系统漏洞的防护,可是对外的服务器中根本就没有使用IIS。通常情况下,不熟悉业务的IT管理员无法根据业务情况来选择适合的策略,所以大多数选择了策略全开,但这必然会导致效率下降。 #p#
网络安全其实没有那么复杂
遇到这种问题,大部分用户会思考,每年网络安全建设的投入到底有没有价值、为什么还会有攻击。其实,网络安全管理并没有想象得那么复杂。
该用户之前已经采购过我们的上网行为管理和SSL VPN产品,偶然地了解到深信服的下一代防火墙产品(NGAF)防护效果较为明显,于是决定通过测试先看一下效果。
了解自身业务部署的对应策略
针对用户在此次事件中的遭遇进行分析,我们认为用户需要更简单、容易操控的安全防护策略,依据自身业务系统及应用的情况进行有针对性的策略配置。但事实上,很多IT管理员并不会耗费过多精力去了解业务部署。在此,我们建议用户使用下一代防火墙的“一键部署”功能。
通过主动对网络状况进行安全评估,生成策略和报表,再通过“一键部署”功能,自动生成针对性的安全策略,这样便可避免管理员由于不熟悉业务而导致的安全策略错配、漏配问题。
图3 自动评估安全风险,一键生成安全策略
通过对服务器、Web系统进行漏洞扫描,可以自动生成针对性的策略,简化了用户的运维。
图4 策略联动界面图
#p#
了解网络中的流量,实时掌控安全状况
借助下一代防火墙,IT管理员可以清晰看到经过防火墙的流量都有哪些、哪些吞噬了较大的带宽,以此为依据来决定禁用哪些高带宽消耗或可能带来威胁的应用。
图5 网络流量统计
通过整体分析来找寻攻击的蛛丝马迹
各类攻击间往往有必然联系,如小偷入室盗窃一般,也必然要经过踩点、试探、入室盗窃。黑客发起攻击也大抵如此,首先踩点、然后进行漏洞扫描分析、再进行提权以及攻击破坏、最后走之前还要留下后门。所以只有通过完整的分析,才可以真正了解攻击本身。
从整体威胁中找到受攻击的目标,再进行分析来探究攻击者的目的。如下图所示,这台服务器遭受了大约42.7%的攻击,主要是SQL注入和DoS攻击。
图 6 攻击类型分布
#p#
智能联动让您高枕无忧
在帮助用户分析和测试的过程中,我们也使用到了下一代防火墙的智能联动功能。通过防火墙与IPS、WAF的模块间智能联动,可以自动生成临时的控制策略。大幅提高了黑客的攻击成本,是针对APT攻击的有效防御手段之一。
图 7 智能模块间联动
综上所述,网络安全并没有这么复杂,恐惧心理往往来源于对未知事物的不确定,例如:不了解业务及风险不知道如何制定策略、发现攻击无法对其进行鉴别等。通过下一代防火墙的体验,用户可以主动评估网络及系统的风险,一键生成针对性的策略、简化运维。可以从L2-7层宏观的角度分析黑客的攻击行为,通过智能防御手段自动生成策略,提高黑客攻击成本。