原创作品,未经Julian 本人授权不得转载,侵权必究。
那晚闲来无事,哥看了一集美剧《黑客军团》,哥看到屏幕上的命令行,居然有一种莫名其妙的机动。第一集基本上没什么尿点,给我印象最深的是有一幕,网站系统瘫痪了,男猪脚和同仁发现是由DDOS导致的故障,然后发现服务器里的rootkit四处散播形成僵尸网络,紧接着集群基本都关闭,最后男主出马,他通过改个域名服务器就改变了最后一台感染的重启。剧情很抓人,场面很华丽,虽然理论上说,每个域名都有TTL,修改后不可能马上生效,但这对于美剧迷来说并不重要。
通过阅读这次的开头想必大家已然明白我这次要给大家带来什么了吧?对,企业网络安全。谈到网络安全大家一定想到了常见的硬件产品如:防火墙(firewall),VPN网关、入侵检测(IDS)、入侵防御(IPS)和统一威胁管理(UTM)以及下一代防火墙(NGFW)等。这些设备的基本概念和用途,小生就不在这里赘述了,需要了解的,可以出门左拐找隔壁的“度娘”。这些设备谁将取代谁的存废之争已讨论多年,我在这里不做评判,只想跟大家漫谈的是个人的一些实施经验和感受:
1. 传统的将安全设备串糖葫芦式的部署到网络中是万万不可的。这样只会造成效率较低、可视性差、管理困难。传统的设备如防病毒、入侵检测与防御技术都是基于模式匹配、黑名单技术来对已知攻击进行防御技术。而如今已是云计算、大数据时代,设计与运维人员应当多都通多协作,合理化部署,在没有任何特征库的情况下通过海量数据来发现无规律的异常的黑客行为以及发现新的攻击或行为,因此联动与互补显得尤为重要。
2. 对于绝大多数已有部分安全硬件设备的企业,无论是从信息化建设发展投资保护还是从人员维护熟练程度来说,都没有必要一下子推倒从来,一步跨到最新的设备套件(UTM)上。
3. 对于要逐年或定期面对内审和、或外审的企业来说,IDS是绝好不过的了。你可以从其“呈现”界面,方便、快捷、丰富的获取各种表和图,真是谁用谁知道。
4. UTM虽然“看上去很美”但是要注意UTM模块见是否割裂、有无联动,不然简单的UTM模块堆叠会导致应用层性能下降,适得其反。
5. 正所谓道高一尺魔高一丈,随着黑客攻击水平的不断进步,如今多为利用应用安全漏洞进行攻击,因此,下一代防火墙(NGFW)、IPS基础上的抗拒绝服务攻击系统(Anti-DOS)、Web应用防火墙(WAF)等元素应在网络设计和部署时适当考虑,以应对日渐多样、复杂、易变的应用程序。
6. 常言道“师傅领进门,修行在个人。”设备纵然再先进放在那里,鲜少维护是(sang)不(xin)行(bing)的(kuang)。我们需要真正做到管理,更新和使用好各种现有的网络安全设备,按照现有的日常操作流程进行运维,如果能建立或是部分实现企业内信息安全管理体系(InformationSecurity Management System, ISMS乃是极好的。
让我们再把话题回到前面我给出的整体方案上:
两条线路接入后,考虑到这是IT系统与外界互联网的喉舌要害,本人在此就简单的设计部署了一套安全套件。之所以命名为安全套件,是因为随着软硬件技术的发展,在安全接入网关方面,各大厂商的各种设备在深入开发其本类特性的同时也不断加权相近领域的安全概念。这便使得各类安全产品的单质性逐渐淡化,多用途的现象普遍体现。因此,本人觉得在设计和选型方面不必拘泥,完全可以根据本企业现有的网络架构、资金预算等方面的实际情况出发,保证在功能上基本实现防火墙,IPS(入侵防护系统)特别是有Anti-DDOS(抗分布式拒绝服务)特性, IDS(入侵检测系统),漏洞扫描,甚至可以有UTM(统一威胁管理)之类集大成设备的部署。
特别要强调的是这几年来,见诸报端的各大知名企业网站遭遇DDOS攻击事件显示出攻击者从网络层、传输层及应用层入手,进行如SYNFlood、UDPFlood、UDP DNS QueryFlood、(M)StreamFlood、ICMPFlood、HTTPGet Flood等拒绝服务攻击。因此为了防止本所内部网络以及对外服务网站因为连接耗尽而瘫痪,本人觉得应当将“抗DDOS”作为了安全套件的一项重要考量指标。
十一长假刚刚结束,哥还处于收心的阶段。可喜的是,我发现回帖跟帖的小伙伴们越来越多了。套用一句时下流行良辰语录:欢迎“你来试试,你若是感觉有实力跟我玩,巨廉在此,不妨陪你玩玩儿,哥不介意奉陪到底。你们只需要记住,巨廉在此多谢了,他日,必有重谢。”(说了半天是什么鬼啊?我去百度一下!)
