时间:2022-05-26 23:12:10
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网站防护解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
出于宣传和业务的需要,当前高校对外的网站很多,比如说高校内各个院系、实验室等都有对外宣传的窗口。由于各网站使用单位的技术实力不尽相同,网站的安全防护水平也良莠不齐,信息安全问题日益凸显。
频受攻击的网站
2013年,360公司的我国学校网站安全状况调查结果显示,我国平均每天每个学校网站遭受黑客攻击高达113次以上,而一些重点网站每天被攻击的次数可达上万次。攻击者入侵高校网站后,往往会进行以下恶意行为:篡改网站内容、窃取数据库信息、进行网页挂马、进行提权攻击获取服务器全部权限。其中,篡改网站的比例占恶意行为的一半以上,我国每天被篡改网站中有20%以上的网站为学校网站。
当前各高校对自身信息系统的安全防护日渐重视,但是由于学校各院系的业务相对独立,高校网站物理分布相对分散,安全防护力量薄弱,再加上高校在信息化建设中针对安全的技术和资金投入有限,高校信息化部门无法对高校的所有信息系统进行统一的防护和管理。
如何在投入较少的情况下将这些物理位置上较为分散的网站纳入统一管理、统一防护的网络体系架构中,已经成为当前高校信息化建设中一个亟待解决的问题。
正是在这一背景下,基于CDN(内容分发网络)技术的信息系统安全建设方案浮出水面。通过采用CDN的缓存等技术,可以在投入有限的条件下在一定程度上满足高校信息系统综合管理和防护的要求,提高高校信息系统的安全性。
不同于商业应用
CDN的设计思想是通过建立一层新的网络架构使原来物理上分散的系统在逻辑上形成一个整体,从而解决信息系统由于地域分散、网络带宽有限、访问量大、物理系统部署不均匀等因素造成的响应速度过慢等问题。CDN通过采用负载均衡、网络请求重定向和内容复制(缓存)等关键技术实现网络的高效通信。简单来讲,就是用户通过访问距离自己相对较近的缓存服务器实现对所需内容的快速访问。CDN在电子商务网站、视频网站,以及大型企业系统等对网络响应速度、服务器载荷、网络带宽等方面有着严格要求的商业环境中应用广泛。
而CDN所采用的网络架构和关键技术,使其在解决网络访问速度过慢、抵御DDoS(分布式拒绝服务)攻击、降低服务器的有效载荷等方面有着明显的优势,因此CDN在安全领域也得到了重视和应用。
结合高校网络的特点,基于CDN技术的网络架构如图1所示。在该架构中,当用户访问Server1时,直接在IE中输入相应的URL即可。用户感觉不到中间数据流向发生的变化,但是整个机制却发生了巨大的变化。
整个过程看起来和商业上大规模部署的CDN基本相同,但学校网络本身的特点决定了其CDN架构和商业部署的架构存在以下不同:
DNS二次解析技术:在以上两类DNS架构中,二次解析技术都作为关键技术。首先将域名解析记录Server主机的A记录修改为CNAME并指向CDN服务器CDN.XXX,然后CDN服务器得到域名解析权获得CNAME记录,根据CNAME记录选择要访问的服务器。高校CDN架构和商业CDN架构的不同之处在于,高校CDN架构要访问的服务器是真实的物理主机,而商业CDN架构要访问的服务器可能是一个Cache(缓存)服务器。
缓存技术:两者在缓存技术上的应用方式基本一致。在CDN服务器上部署高速和大容量的Cache来实现访问内容的复制,缓存技术的应用可以有效提高网站的访问响应速度。特别是对商业网站来说,响应速度是其核心竞争力之一,高速缓存的大规模应用可以说是其优势所在。
技术:反向技术是实现CDN技术的核心技术之一,在这项技术的应用上高校CDN架构和商业架构完全是一致的。
负载均衡技术:由于大部分高校网站对响应速度的要求远远低于商业网站,因此在负载均衡技术的应用上,高校CDN架构只需满足CDN服务器之间CNAME记录查询和高速缓存访问功能的负载均衡即可。而商业上部署的CDN架构不仅要满足这些要求,还要将各个CDN的带宽、与用户的距离等因素考虑进去,其负载均衡算法要复杂得多。
硬件部署:这也是高校CDN架构和商业CDN架构最大的差别。虽然两者都是将原来物理上分散的服务器在逻辑上集中到一起,但是在实际部署中,高校CDN架构只需在网络中心部署CDN服务器将校园里原来分散的服务器逻辑上集中在一起,但是商业CDN架构则需要在尽可能接近用户的地方部署CDN服务器,CDN服务器的部署在物理上也是分散的。两者之间的这种差别决定了其在抗DDoS攻击能力方面的巨大差距。
CDN防护体系的三大优势
通过CDN技术可以将原来物理上分散的服务器逻辑上集中在一起,基于这种原理可以将校园内分散的服务器进行统一的管理和安全防护。
该解决方案的实现主要包含三个关键环节:第一,通过在逻辑出口部署安全防护设备,实现对大部分网络攻击的过滤和防护,以及对信息系统的统一防护;第二,通过在CDN服务器部署审计系统,实时监测各台服务器的运行状况,实现对信息系统的运维监测管理;第三,通过在节点部署内容监控系统,有效阻止垃圾信息的传播,实现对信息系统内信息的统一维护、管理。
可见,在高校信息系统安全建设的过程中,充分应用CDN技术可以在资源有效的情况下达到较好的安全管理和防护水平。具体来说,这种解决方案具有三个优势:
第一,具有统一防护、统一管理的作用。这也是高校信息化建设引入CDN解决方案最关键的因素之一。利用CDN技术将原本物理分散的主机逻辑上集中在一起的特点,来实现对信息系统的统一管理和统一防护,有效加强了高校的信息安全管理和防护能力。
第二,具有加速访问的效果。通过利用Cache技术,用户在访问网站时可以大幅提高访问响应速度,降低服务器的负载。
与和时期的条件不同,现如今的信息传递方式丰富多样,对企业而言,移动员工、远程办公、即时通讯、移动存储、黑莓手机和各种Web2.0社交网站的不断涌现,为数据泄漏防护体系带来了极大的挑战。
Websense资深技术顾问陈纲指出:“数据泄漏防护技术已被列入2009年IT行业九大热门网络技术之一,足可见当前企业对数据泄漏防护的重视程度。而真正确保企业核心机密数据的安全可靠,需要集合企业、安全厂商、员工等多方努力配合来最终实现。”
数据泄漏几大渠道
根据Websense的研究报告,如今数据泄漏的渠道包括以下几点:
运用网络攻击手段:此类数据泄漏现象主要存在于以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等可使不法分子直接攫取非法暴力的企业。这类窃取主要通过服务器攻击、木马程序置入等。
利用Web2.0:博客、SNS、BBS、社区等Web2.0应用的兴起为企业的业务开展创造了更便捷的平台,但与此同时,这些应用所带来的新型攻击、员工工作效率下降和数据泄漏风险也让企业头痛不已。网络犯罪分子通过将一些恶意URL链接、仿冒视频播放程序的木马、病毒下载器等恶意软件或链接放在各种Web2.0应用中,通过参与热点话题的讨论来吸引用户点击。
内部员工非法窃取:员工的忠诚度不够及职业素养的缺失会导致企业核心机密的流失和泄露,这种泄露主要通过即时通讯、FTP上传、移动存储、打印、电子邮件等实现。
IDC此前的数据也显示,企业所存储的数据量正在大幅增长,由此所产生的对于各种形式如台式机桌面、笔记本、文件/存储服务器、USB驱动器和其他类型信息的防护和控制需求,其增幅将有望在2011年超过那些传输中(如E-mail)和使用中(如合同或议案等)的文件增幅。
数据防护安全体系
陈纲指出:“数据泄漏防护体系的打造需要整合企业、安全厂商,员工等多方努力协作。一方面,企业制定可控性强、人性化的网络访问策略和数据访问、使用策略;同时,安全厂商更好的研发基于内容识别分析、传播途径及传播状态分析等技术,帮助企业实现策略规定,确保数据的不流失;另外,员工自身也要加强网络访问的警惕性,不随便登陆陌生网站,减少与工作无关的视频、Web2.0网站的访问等。”
目前市场上存在的数据泄漏防护解决方案提供商非常多,以Websense为代表的国际主流安全厂商和本土等厂商均推出了各种形式的数据泄露防护解决方案。这些解决方案的最终目的只有一个:确保用户的数据安全,防止数据落入不法分子手中――无论有意还是无意。
企业在进行日常工作的过程中,数据的使用无时无刻不在发生。因此,专家认为完善的解决方案应该能够满足以下几点要求:
数据有效识别――能够迅速判别根据企业的不同特点。明确何种数据是机密数据,何种数据是可对外公开、传播的数据。这是企业数据泄露防护的第一步,也是最关键的一步。只有明确判定数据的属性,才能更好的实施安全防护。
数据传输进程判断――无论是通过邮件、即时通讯还是电脑终端,数据的传输需要途径。准确判断数据当前所处的状态和传输进程,可有效进行安全防护措施的实施。
灵活的策略制定――企业管理者拥有对数据使用策略的制定权,但策略制定后
金融危机和垒球大瘟疫的到来使得人们进一步捂紧了自己的口袋,企业也因此不断紧缩支出,但大量统计数字表明:经济危机时期往往是科研、医疗、基础建设、文化创意等企业大储备、厚积薄发时期,数据保密和泄露防护不可忽视。但企业的管理者们需要注意的是:数据泄漏防护体系的构建非朝夕之功,企业需要明确自身的性质和需求,了解数据保护的重点,评估安全厂商的研发、产品等综合实力之后,选择适合的数据泄漏防护解决方案。
新增多项强劲功能
据安全专家介绍,此次的全新瑞星杀毒软件网络版2012中,增加了“私有云”技术、动态资源分配技术、企业自定义白名单系统、第二代身份标识和客户端密码防护系统。基于这些全新的功能,企业的信息安全管理可以更为稳定,并且更加精准。
瑞星企业专属“私有云”为每个企业单独构建,提供专属的云应用和云服务。它主要有两个功能:一,为企业提供了安全应用软件平台,便于企业获取经过瑞星安全认证的各类应用软件,便于管理员分发、管理和监控。二,为每个企业定制专属的安全服务,企业客户端无需存放病毒库,也无需进行复杂杀毒运算,大大降低了对系统资源的占用,同时可进行最快速、最及时、最轻便的病毒扫描和防护。
智能动态资源分配技术优化了杀毒引擎的核心技术,使其变得更加轻便,突破了传统杀毒软件一次性将病毒库加载到内存中,使用高负荷CPU进行运算的方式,并对病毒库进行了细化,同时优化其存储和加载方式,在杀毒时,实现化整为零、按需加载,从而达到降低资源占用的目的,使更多的老旧电脑也可以流畅运行最先进的杀毒软件。
大型企业在遇到安全问题时,最为头疼的是管理员很难在短时间内定位到具体出现问题的电脑,从而使问题变得更加复杂,延迟解决时间。在新一代瑞星网络版杀毒软件中,增加了第二代身份识别标示,对用户标示进行升级,加入了CPU、主板、硬盘串号、Mac地址、微软身份标示等信息,管理员可精确定位每台电脑。
5S服务诠释高端企业安全理念
将“私有云”、智能动态资源分配等领先的技术迅速落地,转化为产品并与专业的企业信息安全服务相结合,这是瑞星一直追求的目标。在瑞星新一代企业级整体解决方案中,用户不仅可享受到“私有云”技术带来的安全成果,而且能够得到国内首家5S专业级企业信息安全服务。
瑞星公司客服中心总经理齐勇表示,在企业信息安全领域,瑞星向企业用户提供了信息安全评估服务、信息安全预警服务、信息安全专家服务、信息安全应急响应服务、信息安全培训服务。
1、信息安全评估服务:信息安全始于评估,作为拥有CSP认证的安全厂商,瑞星将为用户全面评估面临的各种安全风险、提供专业评估报告。
2、信息安全预警服务:可以通过专属手机通道、邮件通报、网站挂马预警、网站漏洞检测等方式,第一时间发出预警信息,为企业提供信息安全服务。
3、信息安全专家服务:通过对口信息安全顾问、专家常驻支持等方式提供技术支持。
4、信息安全应急响应服务:一旦遇到信息安全事故,瑞星便会通过现场巡检、远程巡检、现场紧急救援、远程紧急救援、数据灾难恢复、网站挂马应急处理等方式,第一时间解决安全问题。
(黄智军)近年来,Web2.0逐渐成为互联网的热点,其相关技术和应用的发展使得在线协作、共享更加方便。但是在我们享受便捷的网络的同时,网络环境也变得越来越危险。Web2.0威胁正在极力表现它的“逐利性”,成为当前网络威胁最突出的代表。
据趋势科技调查,Web 2.0 的各种技术 (如Activex、Javascript等) 频频采用下载式触发 (drive-by-download),使用者只要登录恶意网站便可能遭受感染。攻击者利用Internet 执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。它们潜入计算机系统之后,还会扩散并不断更新自己,在用户不知道或未允许的情况下潜入计算机,从而达到划拨账户资金、传送公司机密等目的,造成严重危害。此外,Web2.0威胁还会采用多种形态,甚至是复合形态,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客,结果都可以导致用户信息受到危害,或者导致用户所需的服务被拒绝和劫持。
如何防护Web2.0威胁?趋势科技北方区销售工程师主管徐学龙指出,尽管URL过滤和内容检查等解决方案在防范已知来源的已知风险方面非常有效,但这种防护技术在本质上是被动的,而且需要不断更新静态特征文件,因而对未知的Web2.0威胁不能有效防范。为此,用户必须要采用动态的防护技术来保证企业网络的安全,避免传统扫描技术的被动特性。而这个动态的Web安全解决方案,必须提供持续动态的更新和全面的URL访问防护。
徐学龙指出,从技术角度来看,互联网的攻击越来越多是通过Web2.0和Mail方式来进行,因此企业有必要针对Web2.0和Mail进行网关安全防御,在Web2.0和Mail的信息流设置安全闸道,把安全威胁隔离在企业网络之外;从流程角度来看,企业对于随时可能发生的安全威胁需要一套预警和响应流程,在关键时刻能够得到专业安全厂商的技术支持服务,通过建立有效的预警和响应流程才能确保企业业务的连续性;从人员角度来看,许多安全问题与用户的行为密切相关。企业需要给予员工安全意识培训,通过提升用户安全意识,才能有效地降低安全风险。
在动态、主动防范Web威胁方面,趋势科技推出了Web信誉服务(Web Reputation Services-WRS)。据徐学龙介绍,趋势科技为每个URL提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,Web信誉服务可以帮助用户快速地确认目标网站的安全性。目前,趋势科技将Web信誉服务加入到网络版安全套件OfficeScan 8.0、互联网网关安全设备IWSA3.1、邮件安全网关IMSA7.0以及Interscan网关安全设备IGSA1.5中,分别针对客户端和网关处进行防护。
问题困扰企业内部信息安全
报告指出,缺乏统一管理易形成“木桶效应”、安全软件误报、电脑设备独立升级占用企业带宽、漏洞补丁升级滞后、终端安全缺失、BYOD环境下WIFI上网缺乏管理、安全制度落后等问题困扰企业内网。
安全制度落后和缺乏统一管理是问题的关键。对此, Gartner副总裁彼得·福斯特布鲁克表示,企业安全属于一种集体安全问题。一般来说,联入内网系统的电脑中,只要有一台电脑被黑客攻破,那么就有可能造成内网安全体系的崩溃和商业机密的泄漏。也就是说,安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别,这就是企业安全问题中的“木桶效应”。而近年来随着APT高级持续性威胁形式日益严峻,这种“木桶效应”暴漏的更加明显。“完善的安全体系建设需要有产品做基础,有技术做保障、有服务做配合、有制度做管理。只有产品、技术、服务、制度协调配合,多管齐下,才能保障企业内网的安全。”同时他强调,安全问题不只是技术问题,究其根本是人与人,人与组织,组织与组织之间围绕利益的对抗行为。
脆弱的企业外网
随着电子商务的崛起,建立官网进行对外宣传和展示,以及进行相关产品的,已经成为企业的通用手段。因此,企业网站已经成为企业对外的一面镜子,反射出企业的自身形象。但是这面镜子在来自互联网的攻击面前却十分脆弱,很多企业由于各种问题被黑客攻击,造成用户流失,导致巨额损失,并严重影响了企业自身的形象。
《报告》显示,出现上述问题的原因,主要是由于企业网站存在漏洞,导致网站被拖库、篡改和流量攻击。同时,企业外网安全受到威胁的同时,也出现了一些新的趋势:一是,病毒木马的数量出现了明显的下滑,但是钓鱼网站呈现快速增长势头。来自中国互联网中心的数据显示,2012年新增钓鱼网站87.3万个,相比2011年增长73.9%。二是,网络存储和云共享成为木马新兴渠道。
解决方案分析
《报告》认为通过“边界防御+云端防护+终端防护”的解决方案,能够有效解决传统的安全防护检测手段单一、性能瓶颈、维护成本高、响应速度慢等问题。同时,鉴于云计算技术的普及,奇虎360总裁齐向东建议,在云端安全中使用分布式存储、分布式计算。把云端安全体系移植进企业内网,能最大程度保障企业业务系统和数据的安全,有效降低资源占用率和运营成本;在边界防护方案中可通过信息采集,进行协议还原对通信进行准入管理,阻断攻击。而在终端安全中需实现网络准入控制、程序准入控制和硬件准入控制。
此外,《报告》还指出到2020年,绝大多数企业都将无法独立的实现信息安全的保护。他们需要中央实体(如安全公司或政府)的统一管理和保护。而为了实现快速检测和快速响应,企业需要通过中央实体来实现情报共享。海量的黑白名单服务和漏洞预警服务是实现企业情报信息共享的必要手段。
链接———企业信息安全关键词
泛安全 未来五年或十年里网络安全会变得更加严峻,现在的互联网安全公司不能只把杀毒软件当成安全产品,应该更广泛地关注用户的网络安全需求。奇虎3 6 0总裁齐向东认为,除了电脑病毒外,用户的互联网安全还面临很多其他威胁,例如数据泄露、信息骚扰等。互联网安全公司不能只关注杀毒软件等传统安全产品,而应该更重视用户体验,把用户遇到与安全有关的问题都解决好,这才是新的产品思路。
随着基于Web环境下的应用越来越普遍,企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高,然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,接踵而至的却是Web安全威胁的凸显。根据Gartner的调查显示,目前成功的攻击案例中有75%发生在应用层而菲网络层面上。同时,数据也显示,三分之二的Web站点缺乏有效的应用防护。
此时就出现了应用防火墙。它位于Web客户端和Web服务器之间,这些防火墙会在Web服务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接,分析用户对应用程序发出的命令。然后就可以分析出哪些是已知攻击,哪些是标准应用的演变。
用户对Web应用安全关注升温
梭子鱼中国区总经理何平在接受ZDNet采访时表示,目前用户对Web应用安全的关注度逐渐升温主要源于面临的三个问题。
第一种,地址转移。比如某公司说DNS域名地址解析被篡改了,就意味着应用方面做得再安全也没用,这个网站已经被转接到另外一个服务器去了。
第二种,拒绝服务攻击。通过密集性访问占用服务带宽资源,使得正常用户应用无法进行。
第三种,针对企业的Web网站后台数据库的窃取、更改和破坏。主要的攻击手段是SQL注入和跨站脚本攻击,套取访问用户的用户名、密码等信息以及后台数据窃取和破坏。
Web应用面临的主要攻击和威胁,后两种居多。因为DNS被篡改这种方式有难度且偏少,后两者难度小一点但是很频繁。
谁更适合防护Web安全应用?
Web应用防火墙(Web Application Firewall,WAF)与IPS、防火墙、UTM等安全设备最大的不同在哪里?何平认为,从技术层面讲,IPS是深度的包检测的产品,属于高级的网络防火墙。IPS所保护的不仅仅是Web应用,IPS的检测是标准化的,这就导致一个问题,它对单纯的Web应用,包括SQL注入的检查不是很专业,所以Web应用防火墙和IPS相比,它是更专业的基于Web防护的系统。
UTM是在网络防火墙基础上加上了部分的应用过滤功能。它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS。它们大部分功能还是在网络层,具有部分的应用层功能。而且,它们并不是针对Web应用,比如IPS,对后台很多种应用都可以进行防护,但是这个防护为粗略检查,比如说两个数据包先后被访问,这两个数据包利用时间差的关系,结合到一起能产生破坏力,这是IPS无法解决的问题。
何平强调,“虽然IPS和Web应用防火墙的部署点都是在数据中心前端,但Web应用防火墙的部署应在物理和逻辑上更靠近Web服务器,用以检查代码合成的用意,从而阻断非法的数据包访问。防火墙和UTM更多强调内网安全,它们检查企业内外网之间的通信以规范对外访问和保护内网安全。”
认识Web应用防火墙
1 功能
Web应用防火墙从功能角度来说有三个部分。
(1)网站隐身。禁止用户获取Web服务器、应用服务器、数据库服务器的版本信息或提供不真实信息。很多攻击者的手段很简单,第一先搞清楚Web服务器版本和应用服务器的版本是什么,第二去找这个版本有哪些漏洞。第三去找利用这些漏洞,网上有哪些现成的工具,这是很常规的黑客攻击手法。
(2)安全检查。简单地说,就是避免非法用户访问。避免用户采用非法命令访问。
(3)应用加速。Web应用防火墙本身是功能和性能统一化的产品,功能很强意味着安全检查做得很好。安全性很高会带来一些代价,就是时间延迟的代价,Web应用防火墙通过这种应用加速把这种延迟的代价进行回补、弥补、再进行加速。
也就是说,Web应用防火墙在整个用户眼里是透明的,但是它做了两个工作,又检查又加速。
2 价值
Web应用防火墙最大的价值不单纯在于它的安全防护,它的价值是一种应用交互的平台。打个比方。企业要上一套ERP系统,基于Web平台的,BS架构的。本来是希望找一个软件供应商三个月做完,需要具备所有功能。开发商所考虑的问题是功能性需求,如果开发商把安全性因素都考虑进来,开发周期至少会延长50%,甚至100%。所以对整个软件交付的周期和成本会非常高。但是有了Web应用防火墙就不一样了,开发商只要把功能做好就行了,因为Web应用防火墙可以帮助企业完成安全性的工作,这样交付周期会提高很多。
同时,系统上线以后可能存在一些功能需求变更,增加新功能要打补丁,就会有新的漏洞出现,意味着要面临新的安全威胁。这个时候Web应用防火墙功能又体现出来,也就是说,Web应用防火墙最核心的价值有两块,第一是缩短用户的应用交付时间,二是为用户的应用运维提供一个最低成本的方案。
3 行业属性
Web应用防火墙行业属性非常明显,更适合大型企业,或者是政府机构。针对的客户群有两种,第一种针对经济效益以及机密数据的要求比较高。比如说移动、电信等用户。另外是针对政府和军队,如果说网站被攻击了,可能带来的不是经济上的,而是政治上的影响。
何平告诉我们,目前在中国市场上,对Web应用防火墙需求比较明确的客户,包含政府、军队、上市公司,以及银行和电信。另外,高校应用也比较多。教育系统都含有比较敏感的信息,所以教育行业Web应用防火墙部署也很普遍。
拯救你的Web应用
企业选择Web应用防火墙应关注Web应用防火墙本身的功能,及它的可配置性。选择一款功能强大的Web应用安全产品,又可以根据需求开启企业所需的功能是比较适合的。因为企业的应用是变化的。今天的应用仅仅是上一个ERP系统。明天上SCM,后天上CRM,而且可能这三个产品是不同供应商提供的,它的安全级别也不一样。所以Web应用防火墙产品只有功能很强大、可配置,才能适应企业不同的需求变更。
软件WAF VS硬件WAF――Web应用防火墙在产品的表现形式,一种是纯软件的Web应用防火墙,装到服务器上,放在网关起到过滤作用。但是何平建议,“用户最好选择硬件的系统,硬件是一种专用的网关设备,服务器毕竟是计算平台,不是网络平台。”
有些用户可以选择纯软件的产品,比如企业已经部署好虚拟化平台的,企业的OA系统、ERP系统,已经完全基于虚拟化平台部署的,这时候选择Web应用防火墙可以考虑买一个虚拟化版本的平台。这样相当于开一个虚拟化机器一样,计算平台和网络平台可以充分利用,只是应用它的功能而已。
Web应用安全策略――对于企业系统应用的用户访问量不是很大,比如系统大概一千多个用户,但是应用很关键,都涉及到企业机密的这些东西,这时候部署Web应用防火墙肯定足够了。因为这种访问 量的带宽要求并不高,因为用户数量有限。
但是对用户可能同时在线有几十万,上百万,比如零售、银行这样的网站,这种情况下单纯部署Web应用防火墙的话,相当于用牛刀杀鸡。这种安全性威胁并不大,但是量非常大,最好是在前端部署IPS,后端再加Web应用防火墙。
方案配置――一个产品的方案配置通常是通过三个阶段来完成的。第一个阶段,上了Web应用防火墙之后,首先针对后台应用进行扫描,以确定应用存在哪些漏洞。然后生成第一个版本的配置数据,比如如果发现用户校验有问题。那就加强这一块的防护级别,这是第一阶段。第二阶段,听取用户的需求,因为不同的行业,黑客所感兴趣的东西不一样,采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。第三,Web应用防火墙本身是一个技术平台,它是一个基于Web的技术解决方案,针对不同行业防护策略也有差别。防护策略的差别是通过原来最早的自动扫描,加上用户需求,加上Web攻击的属性三者来决定的。
Web应用安全产品走向哪里?
随着对Web应用安全的更加细分,何平认为未来会出现比Web应用防火墙现有的功能需要更细分的一个产品,所以Web应用防火墙可能会演化为两种。
第一种是被替代,Web威胁可能越来越细分了,一细分就需要单独的系统去管理。
还有一种,功能会越来越强大,这种功能强大不是单纯的本身功能,而是说从一个产品变成一个平台,它会结合很多第三方的资源和专利技术,为用户提供更有针对性的、可定制化的安全解决方案。
梭子鱼的Web应用安全产品已经从原来单纯对整个Web隐身、检查和加速的基础上,增加了一些和第三方的接口,目前大概支持至少十几个不同厂商的更细分的Web安全解决方案。比如和IBM的网站漏洞扫描系统的接口,和RSA的令牌接口等,也就意味着Web防火墙从一个单纯性产品变成一个安全平台了,这种演化的目的是应对更加细致的安全需求。
另外,也有一些共性的趋势。比如虚拟化,因为大型企业虚拟化的平台部署越来越多,整个Web应用防火墙的解决方案,虚拟化部署的比例会提高。
还有,与云安全技术的结合,以前的Web应用防火墙更多的是本地计算,比如说零日攻击,解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候。它能扫描以前的阻断方式是什么。Web应用防火墙归纳起来有三个趋势,一个是功能平台化,第二是部署的虚拟化。第三是防护的云化。
随着Web2.0技术的普及,网络传输的内容不再仅限于文字和图片,很多视频应用也需要网络点播来实现。这些视频应用往往要求提升用户的观影体验,以达到广告宣传或满足观众需求的目的。这就要求后台系统具备高传输率、数据同步、数据流分流、高稳定性等特征。而实现网络音、视频流畅传输的领先解决方案是流式媒体传输。
在流媒体系统中,数据流量往往很大,对视频点播并发流量的负载能力要求很高,单一服务器往往难以负载。在这种情况下,通常有三种解决方法,即升级网络带宽、升级服务器配置或增加服务器,或者是选择用最大的压缩技术来压缩视频文件。不过,这三种方法都具有一定局限性:升级网络带宽和升级服务器通常会同时进行,短时间内可以起到缓解作用,但一段时间之后仍将面临升级问题,并且会造成资源浪费,甚至可能出现硬件性能卓越但却无法满足业务发展需求的状况;压缩视频文件可以减轻服务器的负担,但视频清晰度也会相应降低,用户体验将受到影响。
在这种情况下,负载均衡解决方案应运而生。通常情况下,负载均衡解决方案需要解决以下几个问题:如何保证客户服务的稳定性,如何实现流媒体服务器集群的高可用性,如何让硬件设备发挥最大的处理能力,如何使整个系统具有良好的可扩展性。
为解决以上这些问题,负载均衡解决方案需要满足以下四个要求:采用负载均衡设备对后端的流媒体服务器集群进行连接请求的分配,尽量使各台流媒体服务器的负载均衡,并能进行实时健康检查,及时移除出故障的服务器;能正确处理同一个RSTP(Real-Time Streaming Protocol)请求中的TCP和UDP连接;能对同一个用户的请求进行会话保持,确保用户使用流媒体服务的质量和流畅性;由于流媒体应用中上行流量远远小于下行流量,因此负载均衡解决方案需要采用直接路由技术。
梭子鱼为某视频点播网站提供的负载均衡解决方案如下:采用两台梭子鱼服务器负载均衡机LB440的双机HA冗余结构,实现对后端多台流媒体服务器的实时负载均衡;采用梭子鱼LB440特有的负载均衡算法保证大量的流媒体连接请求负载实时高效均衡;采用梭子鱼LB440对每台流媒体服务器的服务端口进行健康检查,当某台流媒体服务器发生故障,则停止该台设备的工作,并从整个负载均衡队列中自动移除;提供SSL卸载和加速功能,避免SSL加解密运算对服务器造成额外压力,提高服务器的处理能力,保证HTTPS访问的高效、安全、可靠;基于应用的结构,便于业务系统无缝拓展,帮助用户降低成本。
梭子鱼负载均衡解决方案具有以下多个优势:
该解决方案性能卓越。梭子鱼LB440负载均衡机提供业界领先的服务器负载均衡性能,支持每秒10万个新建连接以及900万个并发连接。
一般来说,流媒体服务会使用一个TCP连接(如RTSP协议)进行带宽协商和流速控制,通过UDP将流数据返回客户。梭子鱼LB440负载均衡机拥有IP及Cookie的会话保持功能,保证来自同一客户的TCP和UDP连接会被转发到集群中的同一台媒体服务器,使媒体服务可以准确无误地运行。而普通的NAT技术由于针对TCP和UDP请求进行分开处理,往往会使两个请求分发到不同服务器,导致会话失败。
梭子鱼服务器负载均衡机独特的无跳线连接心跳监控方式,能实现快速切换,而这正是集群流媒体服务等实时关键系统所必需的。
前几年曾让我们无所适从的蠕虫病毒,在今天已经成为司空见惯的安全事件,即便它能发作,也不会造成太大的损失,因为,我们在意识上和技术上能够解决它了。
然而,蠕虫病毒的威胁虽然有所降低,但是取代它们的却是破坏程度呈几何级数增长的混合威胁。这种新病毒结合了传统电子邮件病毒的破坏性和新型的攻击能力,不仅可以攻击企业网络的漏洞,而且还可能盗取企业的核心数据和信息。
混合威胁的传播速度非常快,其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多。
然而,许多企业虽然知道面临着计算机病毒攻击的危险,却没有做好充分的准备来应付混合威胁的攻击。随着混合威胁的不断泛滥,对主动和深层防护技术的需求也越来越明显,人们希望在混合威胁为网络造成破坏之前,就将其遏制。
要想有效地对付混合威胁,我们不妨从两个方面着手。一是提高安全意识,规范上网行为,不主动地触及混合类威胁;二是提高网关处的安全防护能力,在网关处将威胁进行主动封堵。
过去,企业都非常注重外网的安全,认为外网安全了,就是全网安全了。这种观点实际上有些理想化,而且已经得到验证。据统计,有许多网络安全问题都是由于内部员工所引起的。例如,在员工浏览、利用即时通讯和访问购物网站的时候,一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中,接下来,这些恶意软件就会在企业内部网络中进行传播。
据CSI对484家公司调查的结果显示,超过85%的安全威胁来自企业内部;16%内部未授权的存取。
因此,企业的网络安全风险来自于企业内部和外部,而不仅仅是外部。为了摒除内部安全问题潜在的威胁,企业需要一整套有效的网络监控、管理和报表解决方案。
8e6提供的上网行为管理技术,具备隐藏式过滤技术和详细报表功能,监控但不阻挡浏览的能力以及灵活地根据客户需求进行定制。
这样,在企业员工访问互联网的第一时间,就对所要访问的对象进行了过滤和筛选,含有恶意代码的不良网站,就会自动地被阻挡。
8e6对过滤服务器进行了完美优化,提供了最大网络流量。许多过滤技术在过滤互联网访问的内容时,往往会降低网络速度。然而,8e6 R3000作为网络服务器,它只会在网络流量之外“观查”网络状态,而不会去“阻止和检测”站点的请求。
利用“可视”方式,R3000可以避免和清除“过滤器的瓶颈”问题。从不接触数据包意味着R3000在失效事件中不会中断组织的互联网连接。然而,其它的相关软件需要安装多个不同的服务器,R3000可以利用一个服务器支持30000多个用户,为企业提供了一个强大的、高可扩展的过滤解决方案。
如果一个企业能够成功地解决内部安全的问题,安全防护就意味着成功了一半。接下来,就要想办法在网络的“大门”处部署主动防御方案了。网关是企业网络连接到另一个网络的关口,企业所有与外界的网络交流都要流经这个关口。网关就象是一扇大门,一旦大门敞开,企业的整个网络信息就会暴露无遗。
据统计,80%的病毒是通过互联网侵入到企业网络当中的,由此可见,电子邮件是传播病毒的主要来源。
从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫莫开”的作用。所有进入企业网络的电子邮件在到达邮件服务器之前,都要经过网关这道关的严格监测。网关能够检测进出网络内部的数据,对HTTP、FTP、SMTP三种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀。
McAfee SIG安全网关不仅能够拦截已知病毒,而且还能截获未知病毒,保护企业网络免受零日攻击和新病毒威胁。同时,通过过滤HTTP和FTP流量来保护企业网络免受间谍软件、 广告软件、拨号程序、按键记录类程序和后门的侵扰。
除了防止病毒、恶意软件通过网关进入企业网络之外,安全网关的另一个重要责任就是封堵垃圾邮件。McAfee的垃圾邮件防护模块与 McAfee SIG完全集成,可通过一个可选许可证使用该模块。
垃圾邮件防护模块采用极其复杂的技术来检测并拦截垃圾邮件和网络钓鱼诈骗攻击:完整性分析、启发式检测、内容过滤、黑名单和白名单支持、DNS 拦截列表支持和贝叶斯过滤。
时常更新,确保您的保护始终处于最新状态。用户不仅可以获取作为垃圾邮件被拦截的邮件的每日摘要,还可以管理他们的垃圾邮件隔离、黑名单和白名单。无论采用什么样的安全解决方案,网关保护则是整个反病毒策略解决方案的一个关键组成部分。
混合威胁不断发展,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护才能有效。真正的深层防护体系不仅能够发现恶意代码,而且还能够主动地阻止恶意代码的攻击。
谈到深层防护体系,一定要谈到入侵防护系统(IPS)。IPS的出现可谓是企业网络安全的革命性创新。IPS的出现不仅解决了目前其它安全解决方案不能解决的问题,而且还为企业节省了开销。
比如,美国的一家财务公司,在全球有12个分支机构,原来使用250个许可证的IDS产品,目前,采用30个许可证的McAfee IPS产品就能实现全球网络的入侵防护,而管理人员只需要3至4人,效率却提高了6倍以上。
东莞市唯一网络科技有限公司(简称唯一网络)作为深耕IDC行业近9年的互联网增值业务提供商,业务从简单的服务器租用升级为IDC综合服务提供商,从无名小企业发展成为行业内知名企业。如今,唯一网络将“做中国最好的IDC服务提供商”的作为目标,给了突围中的IDC企业一个清晰的方向。
专注行业 砥砺前行
很多人对IDC还不甚了解。IDC即Internet Data Center,互联网数据中心,是基于互联网进行集中式的数据收集、存储、处理和发送的设备提供运行维护和增值服务的设施基地。IDC提供的主要业务包括域名注册查询、主机托管、资源出租、系统维护、管理服务,以及其他支撑、运行服务等。
“简单来说,通过IDC服务,企业或政府机构无需再建立自己的专门机房、铺设昂贵的通信线路,也无需高薪聘请网络工程师,即可解决自己使用互联网的许多专业需求。”唯一网络董事长王宇杰介绍说。
唯一网络成立于2005年8月,是一家为客户提供服务器租用、服务器托管、机柜大带宽、网络安全、CDN加速等互联网增值业务解决方案的企业,是业内知名的互联网增值业务提供商。日前,唯一网络取得了工业和信息化部颁发的增值电信业务经营许可证(ICP/ISP/IDC/SP),并成为中国互联网络信息中心(CNNIC)会员单位(拥有AS自治域号)。
在公司创立之初,面对互联网带来的众多市场机遇,王宇杰选择了将游戏行业作为市场突破口,并成功闯出一片天地。历经7年的努力,在他带领下,唯一网络成长为业内领先的知名企业。
如今,唯一网络在东莞设立了总部,在北京、深圳、合肥、绍兴、泉州、厦门、长沙等地设有分公司,服务范围遍布全国31个省市和地区,现已拥有多个独立自主经营的电信级互联网数据中心。服务客户近2000家,服务对象主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站等,业务规模可观。
同时,唯一网络在服务上也做了提升,该公司提供365×24小时的运维技术支持,400全国咨询服务电话,近百人的技术服务团队和机房驻守人员,并设有VIP快速服务通道,能够及时、有效处理故障。
唯一网络正在朝着成为中国最好的IDC服务提供商这一目标前进。
云防护系统助力网络环境更安全
随着互联网的不断普及、网络带宽的不断加大,高速广泛连接的网络给用户带来了方便,也给网络服务商带来了很多安全隐患。
据悉,唯一网络致力于为用户提供更安全的网络环境,其最新研发的云安全防护系统已正式推出。据唯一网络总经理陈秋华介绍,该系统是集成所有已部署的DDoS、域名系统(DNS)、抄送(CC)等防御资源,为用户提供高效的整体网络安全解决方案,给用户营造安全、稳定的网络环境。
陈秋华进一步解释说,所谓集成,就是云防护系统对网站接入采取“先备案、后接入”的原则,凡是没在工业和信息化部备案的域名网站,一律不允许接入,防止不明网站的攻击。系统采取“黑、白名单制”,将部署在唯一网络内的服务器和数据中心的网站加入“白名单”,系统通过自动化手段监控。而涉及“涉毒、涉赌、涉黄、反政府”等有害信息的网站,系统会将其列入“黑名单”,并进行屏蔽、删除,服务器做下架处理,以确保唯一网络为用户提供的内容是健康和绿色的。
目前,唯一网络在全国已自建4个超过100G的防护级别数据中心(总防护量超过500G),并和国内、国际多个电信运营商建立良好的合作关系,通过网络实时监控,为客户提供快速的异常流量响应和清洗工作,广受客户认可。
深挖客户需求
把握市场走向
“唯一网络异常流量监控系统能监测到页游客户的设备流量变化,包括正常业务流量调度引起的变化和异常流量流入、流出造成的变化。如果有异常流量,监控系统发出警告后,网络操作中心成员负责细节排查确认,响应中心成员则即时告知我们。这套系统能比技术人员先一步发现问题,给我们减免了很多麻烦和损失。”一家网页游戏开发商使用该系统后做出了这样的评价。
知名页游客户的肯定坚定了唯一网络进一步提升服务水平的信心。唯一网络将始终关注客户的需求,切实为用户营造安全的网络环境。
目前,针对新业务的技术特点和安全防护要点的安全产品和手段也不断出现。可以预见的是,拥有高安全性能且稳定的产品和及时的服务的厂商将更有市场。
从IDC向综合
服务提供商转型
随着IDC技术的不断发展,国内IDC厂商不仅应看到成长型市场带来的机遇,还应当看到诸多已经进入中国市场的国际IDC厂商为市场带来的新鲜血液和巨大挑战。在市场驱动下,传统IDC服务商必须向综合服务提供商转型。
赛迪顾问的统计显示,2012年网络安全测试和方案、数据备份业务、虚拟专用网成为IDC领域的前三大增值业务,分别占14.6%、14.2%和13.6%。数据说明,一方面IDC用户的需求个性化不断增大,对增值业务的需求量越来越大;另一方面,基本的安全、加速、存储等业务依然占增值业务市场的重头,整个市场业务多样化有待加强。
为此,王宇杰指出,目前IDC业务应当由以资源型和应用型业务为主,向以能力型业务为主转型;由单一的基础类业务,向提供基础类服务+增值服务+应用类服务升级。
关键词:网络安全;攻防训练;平台设计
近年来,随着计算机网络和信息系统应用加速,各类信息安全和网络攻击事件时有发生,防不胜防,并且逐步渗透到国家安全、经济发展、人民生活的各个领域,使得当今社会对信息安全人才的需求日益紧迫和突出。目前开展网络攻防训练存在以下几个制约因素:(1)构建真实的物理平台需要优质的物理设备和复杂的实现环境,费用昂贵、模拟规模有限且设备更新换代较慢,不利于对最新网络安全技术的学习和掌握。(2)网络攻防实验一般对网络设备具有破坏性,在真实的网络中开展攻防实验管理难度大,训练风险高[1]。(3)采用OPNET和NS2等网络安全仿真软件存在仿真对象单一、平台制约多、缺乏系统性等问题。本文借助虚拟化技术,采用B/S架构设计并实现一种集攻击、防护训练及学习功能于一体的网络安全攻防训练平台。该平台充分利用现有的设备和网络基础设施环境,设备资源利用率高、组建灵活,可扩展性强,利于系统地开展网络攻防训练。
1平台架构及功能设计
1.1平台系统架构
平台分为物理资源层、虚拟化层和用户管理层3个层次:(1)物理资源层主要包括物理计算机、服务器、存储设备及网络等。(2)虚拟化层是攻防训练平台的底层核心,将互联的物理计算机和存储设备虚拟化为由内存、显卡、磁盘和CPU组成的网络资源池,通过虚拟化可在资源池上运行多个共享资源虚拟机,以实现不同应用。(3)用户管理层是攻防训练平台的应用核心,主要包括靶场中心、工具台、实训中心、管理控制中心4个功能模块,用户通过浏览器访问Web用户交互界面来使用攻防训练平台进行攻防训练。
1.2平台功能设计
(1)实训中心以课程为向导,分为攻击和防护两大方面,区分具体类别提供配套电子实验指导书、知识库、漏洞库等,供参训人员自主选择学习。(2)工具台集合了训练中所用到的各种攻击防御工具,按不同的类别进行分类,用户训练时可通过Web网页下载工具台当中的工具供训练使用。(3)靶场中心是靶机的集合,为网络攻防训练提供目标和环境。靶机(TargetsHosts)上预置了存在安全漏洞的网站、应用程序或是操作系统等,攻击者可以通过查找漏洞进行相应的攻击训练,防护者通过修复漏洞练习网络防护技巧。(4)管理控制台主要包括监控管理和系统维护两个方面的功能。监控管理可根据定义好的规则过滤网卡的流量,从而通过抓取正在训练的虚拟机的流量包,对整个平台正在训练的虚拟机进行监控,并采集大量真实的数据信息用于后续分析。对网络攻防训练平台的系统维护可以分为基本维护管理和高级维护管理两类。基本维护管理主要是对平台门户网站的维护,包括网站内容更新、栏目管理、工具台列表更新等日常维护。高级维护管理主要是指对攻防训练平台基础结构进行调整,包括添加新服务器对虚拟资源池进行扩展,部署新的工具台虚拟主机(ToolsHosts),在工具台中添加新的攻击工具,根据新发现的漏洞建立相应的靶机环境,以及为现有工具台、靶机调整虚拟硬件资源等。
2系统实现
2.1虚拟化解决方案
虚拟化是一个简化管理、优化资源的解决方案,通过虚拟化可以把有限的固定资源根据不同需求重新规划,以达到最大利用率。综合考虑适用性及软件成本,笔者采用VMware公司的基于vSphere的服务器虚拟化解决方案[2]。vSphere可提供包括计算、存储、网络的基础架构服务以及包括可用性、安全性、可扩展性的应用程序服务[3]。在本平台中使用了vSphere的VMwareESXi,VMwarevSphereClient和VMwarevCenterServer功能组件,如图1所示。VMwareESXi是VMwarevSphere的核心组件,安装好ESXi的服务器称之为ESXi主机。ESXi从内核级支持硬件虚拟化,提供强健的、高性能虚拟化层,允许在ESXi主机上创建的多个虚拟机共享硬件资源。VMwarevCenterServer是VMwarevSphere的ESXi主机和虚拟机集中管理组件[4],能使用标准化模板在ESXi主机上快速部署虚拟机,并对其提供集中化管理、配置和性能监控。VMwareVSphereClient是VMwarevSphere的管理端,可以用来远程登录并管理VMwarevCenterServer服务器。本平台中可以通过vSphereClient远程连接控制单台ESXi主机,也可以通过vSphereClient登录VMwarevCenterServer,集中管理多台ESXi主机及其上的虚拟机。为了保证网络安全攻防训练平台的性能,我们使用vSphereHA(高可用)技术,当服务器集群中硬件失效时,实现虚拟服务器自动在集群中另一个主机上重启。使用VSphereDRS(分布式资源管理)技术,在不同ESXi主机间进行虚拟机的迁移,从而自动平衡ESXi集群的负载,并且可根据资源分配策略,设置虚拟机优先级和限制虚拟机资源使用等,对集群范围内的资源进行分配,从而提升平台的整体性能[5]。
2.2工具台
工具台用于存放攻防训练平台的常用攻防工具,创建工具台的过程如图2所示,共分4步。(1)通过VMwarevCenterServer新建虚拟机;(2)在虚拟机中,安装攻防工具包,并对其可用性、稳定性等基本情况进行测试;(3)在完成攻防工具的安装部署后,更新平台网站的攻防工具列表使其可以通过网页被调用,攻防工具列表以csv格式存储,使用DMcsvEditor工具进行编辑;(4)在平台网站中添加新的页面链接,使用户可以调用攻防工具。
2.3靶场中心
靶场中心为网络攻防训练提供目标和环境,首先通过VMwarevCenterServer新建虚拟机作为靶机,然后在靶机中安装存在漏洞的操作系统、应用程序或是部署存在漏洞的网站等,在部署完成后更新平台网站的靶机链接,使用户可以通过平台网站直接获取靶机的信息进行攻击和防护,也可以通过平台提供的工具间接对靶机进行攻击和防护。
2.4实训中心
实训中心以课程为向导,分为攻击和防护两大方面。攻击方面从“按攻击方法”和“按攻击对象”两个维度将全部课程分类,课程按照攻击方法可分为“信息收集”“木马病毒”“密码破解”“网络欺骗”“溢出攻击”“DOS攻击”“逆向工程”等类别;按照攻击对象可分为“操作系统”“应用平台”“交换机”“防火墙”“VPN”等类别,并提供配套电子实验指导书。防护方面包括防火墙、入侵检测系统、路由器、交换机的配置应用训练,以及网络安全知识库,共享漏洞库。网络安全知识库主要是以文字的形式提供网络安全防护基本概念和常用的防护手段等。共享漏洞库主要是用于实时更新、各类已知的共享漏洞,并提供各类漏洞的解决方案,以便用户了解最新漏洞并尽快对其修补。
2.5部署方式
平台采用B/S架构,创建平台门户网站,用户不仅可以在局域网内实训,也可以通过互联网使用浏览器对平台进行远端访问和操作。本平台打破训练模式的局限,可实现用户随时随地参与线上训练。
3结语
网络安全攻防平台的实现降低了网络攻防实验对物理设备和实际网络环境的破坏性,减少训练成本的投入,且能够通过因特网实现线上训练,满足不同层次人员对网络攻击、防御过程及细节学习和训练的需求,具有较大实用价值。
[参考文献]
[1]张力,周汉清.基于云计算技术的网络安全攻防实验平台设计[J].软件导刊,2015(9):188-191.
[2]底晓强,张宇昕,赵建平.基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J].2015(4):147-151.
[3]VMware中国网站.vSphere产品[EB/OL].(2014-09-25)[2017-10-15].http:
[4]黄晓芳.网络攻防实验平台开发与实现[J].实验技术与管理,2017(5):73-76.
东软NetEye网络流量净化网关NTPG(Network Traffic Purifying Gateway),是面向骨干链路流量的实时甄别、异常流量过滤的网关类设备,其主要用途在于对高带宽流量中夹杂的DDoS攻击提供实时检测和防御,保证网络主导业务(如HTTP、Email、FTP等应用)所需带宽等各项服务质量指标的优先提供,为满足运营商、大型企业用户网络应用基本面的服务质量保证提供总体控制。
功能特色
DDoS识别与清洗功能 DDoS识别与清洗功能是东软NTPG产品的核心,主要功能是对过往流量进行异常甄别和过滤净化。
流量统计分析 NTPG系列产品提供了友善的基于Web的管理方式,可以对过往的全局流量、流经受保护对象的流量、DDoS流量以及触发设定策略的DDoS事件等进行统计分析。
用户的分权管理与审计管理 为了保证安全性,NTPG产品采用了用户的分权管理。
性能扩展积木式 NTPG通过采用积木式的性能扩展方式实现了集群部署,从而保持了系统处理性能与部署代价较为理想的线性增长关系。
黑白名单管理 黑白名单模块采用了简洁而高效的数据结构和算法,用户可以根据业务需要设置白名单用于实现重要业务流量的快速通过,也可以设置黑名单以阻断已知的异常流量。
应用情况
东软NTPG系列产品支持透明、路由等多种部署模式,提供2至4Gbps范围内的单机吞吐性能,并能够通过集群部署方案实现处理能力线性扩容,在电信运营商、IDC数据中心、高校园区网、大中企业网络各种拓扑环境中均具备良好的适用性。
华为Anti-DDoS解决方案
华为Anti-DDoS解决方案包含检测中心、清洗中心和ATIC管理中心三个部分: 检测中心负责对流量进行检测,发现异常流量后通知管理中心; 清洗中心负责引流、清洗,并把清洗后的正常流量回注; ATIC管理中心负责Anti-DDoS方案中所有组成部分的统一调度,包括检测中心、清洗中心的集中管理、业务配置、报表呈现等,管理中心支持集中式部署和分布式部署两种方式,因此具备很好的可扩展性。
功能特色
有效保障用户投资 华为Anti-DDoS解决方案中的检测中心和清洗中心,是基于Eudemon8000E的Anti-DDoS检测清洗板卡搭建,Anti-DDoS检测清洗板卡通过软件功能区分清洗板和检测板。检测清洗板卡基于多核多线程架构,确保大流量的Anti-DDoS检测和清洗业务并发处理。
全面的运营特性 华为Anti-DDoS解决方案提供专业的Anti-DDoS运营管理平台,该管理平台支持基于大客户的差异化Anti-DDoS防护; 支持清洗带宽独享和共享的Anti-DDoS防护能力; 提供面向运营的服务租期管理; 针对复杂的运营场景提供多样化的引流配置; 拥有灵活可定制的报表系统。
高性能的Anti-DDoS能力 针对流量型攻击,能够提供单框80G的Anti-DDoS防护能力; 针对应用层攻击,能够防御HTTP、HTTPS 、DNS、SIP等多达几十种的攻击类型,确保客户业务不中断。
应用情况
华为Anti-DDoS解决方案支持运营商网络中存在的多种Anti-DDoS场景,从骨干网的出口防护,到IDC的专门保护; 从运营商的自身网络DDoS保护,到为最终客户提供定制化的Anti-DDoS运营服务; 从大流量、网络层的拥塞型DDoS攻击防护,到应用层的DDoS攻击防护。
思科 Guard XT 5650 DDoS 防御设备
Cisco Guard XT 5650 DDoS 防御设备能够防御范围广泛的DDoS攻击,这些攻击由看来合法的请求、大量“zombies” 和伪装身份组成。Cisco Guard XT 基于多验证流程(MVP) 架构,采用了异常流量识别、源验证以及防伪装技术,来识别和阻拦攻击流量,同时允许合法流量通过。同时,Cisco Traffic Anomaly Detector XT 与Cisco Guard XT 相结合,能够检测、转移、隔离和删除恶意攻击流量,且不影响合法流量,从而为网络和关键业务流量提供保障。
功能特色
一个Cisco Guard XT 拥有两个千兆以太网接口,能以全Gbps 的线速来处理攻击流量; 多个Cisco Guard XT 共用,能逐步扩展以支持多千兆速率,提供一个可扩展的解决方案,适用于不断扩展的大型企业环境;
直观的GUI 和可扩展的多级监控和报告,能提供对于所有攻击活动的全面概述;
保护Web 服务器、电子邮件服务器、DNS 服务器和其他网络资源免遭DDoS 攻击;
提供范围广泛的DDoS 攻击防御;
以1Gbps 线速处理攻击流量;
对基于异常流量的攻击提供“零日”防御。
应用情况
思科DDoS防御设备可以保护数据中心、网络基础设施和用户接入带宽免遭DDoS攻击; 为大型企业和电信运营商部署提供多千兆保护; 并且,防御最为广泛的伪装攻击、非伪装攻击和zombie攻击。
绿盟抗拒绝服务系统
绿盟抗拒绝服务系统(NSFocus Anti-DDoS System,简称NSFocus ADS)作为绿盟科技流量清洗解决方案中的核心产品,可以智能识别针对企业局域网、互联网站、IDC、城域网、骨干网中进行的DDoS攻击,并通过流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别、带宽控制等多种技术手段,准确、迅速地阻断攻击流量,从而保证正常流量通过。
功能特色
防护各类基于网络层、传输层及应用层的拒绝服务攻击,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽等常见的攻击行为;
借助内嵌的“智能多层识别净化矩阵”,实现基于行为异常的攻击检测和过滤机制,而不依赖于传统的规则库匹配等方式;
提供完备的流量检测、网络监控、设备管理及报表生成功能;
支持灵活的部署方式,适用于多种复杂的网络环境;
通过方案设计,可以组成具备10Gbps以上海量攻击防御能力的系统。
神州数码DCFW-1800-WAF 系列Web应用防火墙是神州数码研究开发的面向政府、教育、企业行业用户的新一代高性能应用层网络安全网关,能够为各种用户规模的Web应用提供立体化安全防护解决方案。
产品架构
DCN WAF的产品包含安全中心、功能引擎、特征维护三大部分,方便用户在各种网络环境下的部署和管理。
安全中心包括管理中心、数据中心、日志报警、告警模块等组件,给用户呈现被保护网站的方方面面量化数据。功能引擎实现多种防护功能,保障被保护网站的可用性、安全性、可靠性、可视性等方面。特征维护以DCN应用安全防御中心为核心,定期更新攻击特征库、网站漏洞库和应用安全知识库,并通过规则升级加载到DCN WAF产品设备中,保障DCN WAF的防护效果。
产品特性
DCN WAF具有以下主要特点:HTTPS加密信息防护,多维细粒度防护引擎,及时权威的攻击特征库,强大灵活的策略模板,安全可靠的产品系统。下面分别加以阐述:
多维细粒度防护引擎
DCN WAF采用了业界领先的多维细粒度防护引擎,解决了网络层防护深度不够和应用层防护的效率低下的难题。
DCN WAF采用多核处理技术,并行深度处理Web请求会话内容,能支持大访问量网站的应用层防护,达到高效的防护效果。防护引擎的多维防护体现在:DCN WAF的攻击检测是攻击特征匹配和异常行为建模相结合的检测策略,当有新出现的0day攻击爆发时,即使攻击特征库没有及时更新,DCN WAF也能根据攻击行为防护住未知攻击。DCN WAF同时检测Web会话发送的请求和返回的内容,从请求和返回两个方面结合判断攻击行为。DCN WAF不仅能防护SQL注入、XSS跨站脚本等攻击行为,还能防护漏洞扫描、cookie会话安全、木马上传等全系列攻击行为,横跨黑客攻击的各个阶段。防护引擎的细粒度防护体现在:DCN WAF基于模式工作,协议还原最彻底。DCN WAF的协议检查内容涵盖HTTP协议头、cookie内容和上传下载的内容,检查点最多。
及时权威的攻击特征库
DCN WAF的防护功能依托神州数码网络对国内政府、教育、行业客户网站和应用系统的深入了解。DCN作为国内知名的信息化建设提供商,建设了多个行业的多个应用系统平台,对DCN WAF的保护对象系统理解深刻。神州数码网络在全国各地建有多个技术支持平台,上百位技术专家在DCN WAF的目标客户遇到问题时及时去现场解决。因此,DCN WAF能得到目标市场最多最快的问题反馈,能更有针对性地制作攻击特征库。
DCN WAF的防护功能依托DCN应用防御中心的强大支持。DCN和中科院信息安全国家重点实验室合作,依托中科院信息安全国家重点实验室的科研实力共建DCN应用防御中心。DCN应用防御中心监控和分析国内政府、教育等行业客户的网站和应用系统出现的漏洞和攻击情况,及时形成DCN WAF的检测特征库。通过特征库的不断升级和更新,DCN WAF能够有效检测和防御各种最新的攻击。
强大灵活的策略模板
DCN WAF具备强大灵活的策略模板机制,在保护多个网站、多个服务器的情况下,能为每个网站和服务器的自身特点自定义不同的防护策略。DCN WAF的策略配置都使用包括URL、IP地址、时间、关键字等元素在内的预定义对象以及对象组完成,通过组的概念可以简化网络管理员的配置工作,提高产品的可用性。
安全可靠的产品系统
DCN WAF采用专用DCNOS实时并行操作系统,其并行的处理能力和模块化的结构易于集成和扩展安全功能,并针对多核并行处理进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为神州数码新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。积累多年被证实的专业硬件安全产品研发和市场经验,DCN WAF在软硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统拥有高稳定性和高可靠性,为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。DCN WAF支持双机热备和bypass功能,不会成为网络上的故障点,能够在最大程度上确保企业关键业务的不间断运行。
产品部署
透明模式
DCN WAF支持透明模式部署。透明模式部署的好处是不改变用户网络拓扑,即插即用,配置简单快速。透明模式支持bypass模式,当DCN WAF设备发生故障时立刻转为直通模式,不会影响网络的正常运行,不会成为网络故障点。
反向模式
DCN WAF支持反向模式部署。在反向模式下,DCN WAF支持应用层负载均衡功能。所有客户端对网站服务器群的访问均由DCN WAF智能分配。当用户业务访问增长,需要扩充服务器数量时,不需要对网站拓扑再做改动,只需要在DCN WAF后面增加一台服务器即可,对客户端完全透明,极大增加了用户网络的可扩展性。
旁路模式
DCN WAF支持旁路模式部署。旁路模式部署方式为只有一个接口接入交换机,部署简单。旁路模式分为两个方案:一是单臂模式。单臂模式是反向模式的一种,DCN WAF按反向模式配置,网络数据通过IP寻址传送到DCN WAF上。数据的流入和流出都从DCN WAF接入交换机的一根线上传输。单臂模式功能和反向模式功能一样。二是监听模式。监听模式接在交换机的镜像端口,旁路捕捉和分析镜像端口的数据流信息,分析数据流中的攻击信息并记录和报警。监听模式下能实现攻击的识别和报警功能,不能实现攻击的防护功能。
双机热备模式
DCN WAF支持双机热备部署模式。两台设备分别工作在主设备和从设备模式,通过心跳线监视对方的工作情况。当发生异常时,自动切换到另外一台设备,确保网络的正常工作。
