【51CTO.com 原创】上次说到美剧,其实廉哥也是给追剧迷,那晚闲来无事,我一口气撸完了美剧《黑客军团》第一季。当看到屏幕上的命令行时,居然有一种莫名其妙的激动和共鸣。特别是第一集基本上没什么尿点,给我印象最深的是有一幕,网站系统瘫痪了,男猪脚和同仁发现是由DDOS导致的故障,然后发现服务器里的rootkit四处散播形成僵尸网络,紧接着集群基本都关闭,最后男主出马,他通过改个域名服务器就改变了最后一台感染的重启。剧情刺激且抓人,场面扣人心弦。虽然次日反思细节,感觉理论上说:每个域名都有TTL,修改后是不可能马上生效的。但这对于神剧的所带来的“小确幸”来说并不重要。
安全套件设计
通过阅读这次的开头想必大家已然明白我这次要给大家带来什么了吧?对,网络安全。谈到网络安全所涉及到的产品,大家一定想到了常见的硬件产品如:防火墙(firewall),VPN网关、入侵检测(IDS)、入侵防御(IPS)和统一威胁管理(UTM)以及下一代防火墙(NGFW)等。这些设备的基本概念和用途,小生就不在这里赘述了,需要了解的,可以出门左拐找隔壁的“度娘”。这些设备谁将取代谁的存废之争已讨论多年,我在这里不做评判,只想跟大家漫谈的是个人在所经历的项目中的一些实施经验和感受。
1. 传统的将安全设备串糖葫芦式的部署到网络中是万万不可的。这样只会造成效率较低、可视性差、管理困难。传统的设备如防病毒、入侵检测与防御技术都是基于模式匹配、黑名单技术来对已知攻击进行防御技术。而如今已是云计算、大数据时代,设计与运维人员应当多都通多协作,合理化部署,在没有任何特征库的情况下通过海量数据来发现无规律的异常的黑客行为以及发现新的攻击或行为,因此联动与互补显得尤为重要。
2. 对于绝大多数已有部分安全硬件设备的企业,无论是从信息化建设发展投资保护还是从人员维护熟练程度来说,都没有必要一下子推倒从来,一步跨到最新的设备套件(UTM)上。
3. 对于要逐年或定期面对内审和、或外审的企业来说,IDS是绝好不过的了。你可以从其“呈现”界面,方便、快捷、丰富的获取各种表和图,真是谁用谁知道。
4. UTM虽然“看上去很美”但是要注意UTM模块见是否割裂、有无联动,不然简单的UTM模块堆叠会导致应用层性能下降,适得其反。
5. 正所谓道高一尺魔高一丈,随着黑客攻击水平的不断进步,如今多为利用应用安全漏洞进行攻击,因此,下一代防火墙(NGFW)、IPS基础上的抗拒绝服务攻击系统(Anti-DOS)、Web应用防火墙(WAF)等元素应在网络设计和部署时适当考虑,以应对日渐多样、复杂、易变的应用程序。
6. 常言道“师傅领进门,修行在个人。”设备纵然再先进放在那里,鲜少维护是(sang)不(xin)行(bing)的(kuang)。我们需要真正做到管理,更新和使用好各种现有的网络安全设备,按照现有的日常操作流程进行运维,如果能建立或是部分实现企业内信息安全管理体系(Information Security Management System, ISMS乃是极好的。
让我们再把目光回到前面我给出的整体方案上:
两条线路接入后,考虑到这是IT系统与外界互联网的喉舌要害,本人在此就简单的设计部署了一套安全套件。之所以命名为安全套件,是因为随着软硬件技术的发展,在安全接入网关方面,各大厂商的各种设备在深入开发其本类特性的同时也不断加权相近领域的安全概念。这便使得各类安全产品的单质性逐渐淡化,多用途的现象普遍体现。因此,本人觉得在设计和选型方面不必拘泥,完全可以根据本企业现有的网络架构、资金预算等方面的实际情况出发,保证在功能上基本实现防火墙,IPS(入侵防护系统)特别是有Anti-DDOS(抗分布式拒绝服务)特性, IDS(入侵检测系统),漏洞扫描,甚至可以有UTM(统一威胁管理)之类集大成设备的部署。
特别要强调的是这几年来,见诸媒体的各大知名企业网站遭遇DDOS攻击事件显示出攻击者从网络层、传输层及应用层入手,进行如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood等拒绝服务攻击。因此为了防止本所内部网络以及对外服务网站因为连接耗尽而瘫痪,本人觉得应当将“抗DDOS”作为了安全套件的一项重要考量指标。
本期最后跟大家说一个廉哥我切身经历过的安全事件吧。若干年前,我曾在一家信息安全公司给南方一个政府做信息安全的示范项目。结果某一天客户办公室的每台电脑都弹出一句“It’s a test. I came, I saw, I conquered!”的小黑窗口。客户领导大呼这是什么鬼?城里人太会玩了!后来查明是网络攻击安全部门的新来实习生在利用脚本模拟风暴攻击时擅用误接入到了正常办公内网络所致。哎,可惜了,这位骚年程序猿,明明可以靠测试吃饭,却偏要靠凭这样的“才华”出名,公司的霸道总裁只能送他两个字“走你!”所以说咱们搞信息安全的人,一不小心把自己给整进去了,这样真的好吗?
【51CTO.com 原创稿件,转载请注明作者及出处。】