時間:2022-05-26 23:12:10
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網站防護解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
出于宣傳和業務的需要,當前高校對外的網站很多,比如說高校內各個院系、實驗室等都有對外宣傳的窗口。由于各網站使用單位的技術實力不盡相同,網站的安全防護水平也良莠不齊,信息安全問題日益凸顯。
頻受攻擊的網站
2013年,360公司的我國學校網站安全狀況調查結果顯示,我國平均每天每個學校網站遭受黑客攻擊高達113次以上,而一些重點網站每天被攻擊的次數可達上萬次。攻擊者入侵高校網站后,往往會進行以下惡意行為:篡改網站內容、竊取數據庫信息、進行網頁掛馬、進行提權攻擊獲取服務器全部權限。其中,篡改網站的比例占惡意行為的一半以上,我國每天被篡改網站中有20%以上的網站為學校網站。
當前各高校對自身信息系統的安全防護日漸重視,但是由于學校各院系的業務相對獨立,高校網站物理分布相對分散,安全防護力量薄弱,再加上高校在信息化建設中針對安全的技術和資金投入有限,高校信息化部門無法對高校的所有信息系統進行統一的防護和管理。
如何在投入較少的情況下將這些物理位置上較為分散的網站納入統一管理、統一防護的網絡體系架構中,已經成為當前高校信息化建設中一個亟待解決的問題。
正是在這一背景下,基于CDN(內容分發網絡)技術的信息系統安全建設方案浮出水面。通過采用CDN的緩存等技術,可以在投入有限的條件下在一定程度上滿足高校信息系統綜合管理和防護的要求,提高高校信息系統的安全性。
不同于商業應用
CDN的設計思想是通過建立一層新的網絡架構使原來物理上分散的系統在邏輯上形成一個整體,從而解決信息系統由于地域分散、網絡帶寬有限、訪問量大、物理系統部署不均勻等因素造成的響應速度過慢等問題。CDN通過采用負載均衡、網絡請求重定向和內容復制(緩存)等關鍵技術實現網絡的高效通信。簡單來講,就是用戶通過訪問距離自己相對較近的緩存服務器實現對所需內容的快速訪問。CDN在電子商務網站、視頻網站,以及大型企業系統等對網絡響應速度、服務器載荷、網絡帶寬等方面有著嚴格要求的商業環境中應用廣泛。
而CDN所采用的網絡架構和關鍵技術,使其在解決網絡訪問速度過慢、抵御DDoS(分布式拒絕服務)攻擊、降低服務器的有效載荷等方面有著明顯的優勢,因此CDN在安全領域也得到了重視和應用。
結合高校網絡的特點,基于CDN技術的網絡架構如圖1所示。在該架構中,當用戶訪問Server1時,直接在IE中輸入相應的URL即可。用戶感覺不到中間數據流向發生的變化,但是整個機制卻發生了巨大的變化。
整個過程看起來和商業上大規模部署的CDN基本相同,但學校網絡本身的特點決定了其CDN架構和商業部署的架構存在以下不同:
DNS二次解析技術:在以上兩類DNS架構中,二次解析技術都作為關鍵技術。首先將域名解析記錄Server主機的A記錄修改為CNAME并指向CDN服務器CDN.XXX,然后CDN服務器得到域名解析權獲得CNAME記錄,根據CNAME記錄選擇要訪問的服務器。高校CDN架構和商業CDN架構的不同之處在于,高校CDN架構要訪問的服務器是真實的物理主機,而商業CDN架構要訪問的服務器可能是一個Cache(緩存)服務器。
緩存技術:兩者在緩存技術上的應用方式基本一致。在CDN服務器上部署高速和大容量的Cache來實現訪問內容的復制,緩存技術的應用可以有效提高網站的訪問響應速度。特別是對商業網站來說,響應速度是其核心競爭力之一,高速緩存的大規模應用可以說是其優勢所在。
技術:反向技術是實現CDN技術的核心技術之一,在這項技術的應用上高校CDN架構和商業架構完全是一致的。
負載均衡技術:由于大部分高校網站對響應速度的要求遠遠低于商業網站,因此在負載均衡技術的應用上,高校CDN架構只需滿足CDN服務器之間CNAME記錄查詢和高速緩存訪問功能的負載均衡即可。而商業上部署的CDN架構不僅要滿足這些要求,還要將各個CDN的帶寬、與用戶的距離等因素考慮進去,其負載均衡算法要復雜得多。
硬件部署:這也是高校CDN架構和商業CDN架構最大的差別。雖然兩者都是將原來物理上分散的服務器在邏輯上集中到一起,但是在實際部署中,高校CDN架構只需在網絡中心部署CDN服務器將校園里原來分散的服務器邏輯上集中在一起,但是商業CDN架構則需要在盡可能接近用戶的地方部署CDN服務器,CDN服務器的部署在物理上也是分散的。兩者之間的這種差別決定了其在抗DDoS攻擊能力方面的巨大差距。
CDN防護體系的三大優勢
通過CDN技術可以將原來物理上分散的服務器邏輯上集中在一起,基于這種原理可以將校園內分散的服務器進行統一的管理和安全防護。
該解決方案的實現主要包含三個關鍵環節:第一,通過在邏輯出口部署安全防護設備,實現對大部分網絡攻擊的過濾和防護,以及對信息系統的統一防護;第二,通過在CDN服務器部署審計系統,實時監測各臺服務器的運行狀況,實現對信息系統的運維監測管理;第三,通過在節點部署內容監控系統,有效阻止垃圾信息的傳播,實現對信息系統內信息的統一維護、管理。
可見,在高校信息系統安全建設的過程中,充分應用CDN技術可以在資源有效的情況下達到較好的安全管理和防護水平。具體來說,這種解決方案具有三個優勢:
第一,具有統一防護、統一管理的作用。這也是高校信息化建設引入CDN解決方案最關鍵的因素之一。利用CDN技術將原本物理分散的主機邏輯上集中在一起的特點,來實現對信息系統的統一管理和統一防護,有效加強了高校的信息安全管理和防護能力。
第二,具有加速訪問的效果。通過利用Cache技術,用戶在訪問網站時可以大幅提高訪問響應速度,降低服務器的負載。
與和時期的條件不同,現如今的信息傳遞方式豐富多樣,對企業而言,移動員工、遠程辦公、即時通訊、移動存儲、黑莓手機和各種Web2.0社交網站的不斷涌現,為數據泄漏防護體系帶來了極大的挑戰。
Websense資深技術顧問陳綱指出:“數據泄漏防護技術已被列入2009年IT行業九大熱門網絡技術之一,足可見當前企業對數據泄漏防護的重視程度。而真正確保企業核心機密數據的安全可靠,需要集合企業、安全廠商、員工等多方努力配合來最終實現。”
數據泄漏幾大渠道
根據Websense的研究報告,如今數據泄漏的渠道包括以下幾點:
運用網絡攻擊手段:此類數據泄漏現象主要存在于以高科技、醫藥研發、文化創意、咨詢等知識密集型企業和金融、證券、電子商務等可使不法分子直接攫取非法暴力的企業。這類竊取主要通過服務器攻擊、木馬程序置入等。
利用Web2.0:博客、SNS、BBS、社區等Web2.0應用的興起為企業的業務開展創造了更便捷的平臺,但與此同時,這些應用所帶來的新型攻擊、員工工作效率下降和數據泄漏風險也讓企業頭痛不已。網絡犯罪分子通過將一些惡意URL鏈接、仿冒視頻播放程序的木馬、病毒下載器等惡意軟件或鏈接放在各種Web2.0應用中,通過參與熱點話題的討論來吸引用戶點擊。
內部員工非法竊取:員工的忠誠度不夠及職業素養的缺失會導致企業核心機密的流失和泄露,這種泄露主要通過即時通訊、FTP上傳、移動存儲、打印、電子郵件等實現。
IDC此前的數據也顯示,企業所存儲的數據量正在大幅增長,由此所產生的對于各種形式如臺式機桌面、筆記本、文件/存儲服務器、USB驅動器和其他類型信息的防護和控制需求,其增幅將有望在2011年超過那些傳輸中(如E-mail)和使用中(如合同或議案等)的文件增幅。
數據防護安全體系
陳綱指出:“數據泄漏防護體系的打造需要整合企業、安全廠商,員工等多方努力協作。一方面,企業制定可控性強、人性化的網絡訪問策略和數據訪問、使用策略;同時,安全廠商更好的研發基于內容識別分析、傳播途徑及傳播狀態分析等技術,幫助企業實現策略規定,確保數據的不流失;另外,員工自身也要加強網絡訪問的警惕性,不隨便登陸陌生網站,減少與工作無關的視頻、Web2.0網站的訪問等。”
目前市場上存在的數據泄漏防護解決方案提供商非常多,以Websense為代表的國際主流安全廠商和本土等廠商均推出了各種形式的數據泄露防護解決方案。這些解決方案的最終目的只有一個:確保用戶的數據安全,防止數據落入不法分子手中――無論有意還是無意。
企業在進行日常工作的過程中,數據的使用無時無刻不在發生。因此,專家認為完善的解決方案應該能夠滿足以下幾點要求:
數據有效識別――能夠迅速判別根據企業的不同特點。明確何種數據是機密數據,何種數據是可對外公開、傳播的數據。這是企業數據泄露防護的第一步,也是最關鍵的一步。只有明確判定數據的屬性,才能更好的實施安全防護。
數據傳輸進程判斷――無論是通過郵件、即時通訊還是電腦終端,數據的傳輸需要途徑。準確判斷數據當前所處的狀態和傳輸進程,可有效進行安全防護措施的實施。
靈活的策略制定――企業管理者擁有對數據使用策略的制定權,但策略制定后
金融危機和壘球大瘟疫的到來使得人們進一步捂緊了自己的口袋,企業也因此不斷緊縮支出,但大量統計數字表明:經濟危機時期往往是科研、醫療、基礎建設、文化創意等企業大儲備、厚積薄發時期,數據保密和泄露防護不可忽視。但企業的管理者們需要注意的是:數據泄漏防護體系的構建非朝夕之功,企業需要明確自身的性質和需求,了解數據保護的重點,評估安全廠商的研發、產品等綜合實力之后,選擇適合的數據泄漏防護解決方案。
新增多項強勁功能
據安全專家介紹,此次的全新瑞星殺毒軟件網絡版2012中,增加了“私有云”技術、動態資源分配技術、企業自定義白名單系統、第二代身份標識和客戶端密碼防護系統。基于這些全新的功能,企業的信息安全管理可以更為穩定,并且更加精準。
瑞星企業專屬“私有云”為每個企業單獨構建,提供專屬的云應用和云服務。它主要有兩個功能:一,為企業提供了安全應用軟件平臺,便于企業獲取經過瑞星安全認證的各類應用軟件,便于管理員分發、管理和監控。二,為每個企業定制專屬的安全服務,企業客戶端無需存放病毒庫,也無需進行復雜殺毒運算,大大降低了對系統資源的占用,同時可進行最快速、最及時、最輕便的病毒掃描和防護。
智能動態資源分配技術優化了殺毒引擎的核心技術,使其變得更加輕便,突破了傳統殺毒軟件一次性將病毒庫加載到內存中,使用高負荷CPU進行運算的方式,并對病毒庫進行了細化,同時優化其存儲和加載方式,在殺毒時,實現化整為零、按需加載,從而達到降低資源占用的目的,使更多的老舊電腦也可以流暢運行最先進的殺毒軟件。
大型企業在遇到安全問題時,最為頭疼的是管理員很難在短時間內定位到具體出現問題的電腦,從而使問題變得更加復雜,延遲解決時間。在新一代瑞星網絡版殺毒軟件中,增加了第二代身份識別標示,對用戶標示進行升級,加入了CPU、主板、硬盤串號、Mac地址、微軟身份標示等信息,管理員可精確定位每臺電腦。
5S服務詮釋高端企業安全理念
將“私有云”、智能動態資源分配等領先的技術迅速落地,轉化為產品并與專業的企業信息安全服務相結合,這是瑞星一直追求的目標。在瑞星新一代企業級整體解決方案中,用戶不僅可享受到“私有云”技術帶來的安全成果,而且能夠得到國內首家5S專業級企業信息安全服務。
瑞星公司客服中心總經理齊勇表示,在企業信息安全領域,瑞星向企業用戶提供了信息安全評估服務、信息安全預警服務、信息安全專家服務、信息安全應急響應服務、信息安全培訓服務。
1、信息安全評估服務:信息安全始于評估,作為擁有CSP認證的安全廠商,瑞星將為用戶全面評估面臨的各種安全風險、提供專業評估報告。
2、信息安全預警服務:可以通過專屬手機通道、郵件通報、網站掛馬預警、網站漏洞檢測等方式,第一時間發出預警信息,為企業提供信息安全服務。
3、信息安全專家服務:通過對口信息安全顧問、專家常駐支持等方式提供技術支持。
4、信息安全應急響應服務:一旦遇到信息安全事故,瑞星便會通過現場巡檢、遠程巡檢、現場緊急救援、遠程緊急救援、數據災難恢復、網站掛馬應急處理等方式,第一時間解決安全問題。
(黃智軍)近年來,Web2.0逐漸成為互聯網的熱點,其相關技術和應用的發展使得在線協作、共享更加方便。但是在我們享受便捷的網絡的同時,網絡環境也變得越來越危險。Web2.0威脅正在極力表現它的“逐利性”,成為當前網絡威脅最突出的代表。
據趨勢科技調查,Web 2.0 的各種技術 (如Activex、Javascript等) 頻頻采用下載式觸發 (drive-by-download),使用者只要登錄惡意網站便可能遭受感染。攻擊者利用Internet 執行各種惡意活動,如身份竊取、私密信息竊取、帶寬資源占用等。它們潛入計算機系統之后,還會擴散并不斷更新自己,在用戶不知道或未允許的情況下潛入計算機,從而達到劃撥賬戶資金、傳送公司機密等目的,造成嚴重危害。此外,Web2.0威脅還會采用多種形態,甚至是復合形態,比如病毒、蠕蟲、特洛伊、間諜軟件、僵尸、網絡釣魚電子郵件、漏洞利用、下載程序、社會工程、rootkit、黑客,結果都可以導致用戶信息受到危害,或者導致用戶所需的服務被拒絕和劫持。
如何防護Web2.0威脅?趨勢科技北方區銷售工程師主管徐學龍指出,盡管URL過濾和內容檢查等解決方案在防范已知來源的已知風險方面非常有效,但這種防護技術在本質上是被動的,而且需要不斷更新靜態特征文件,因而對未知的Web2.0威脅不能有效防范。為此,用戶必須要采用動態的防護技術來保證企業網絡的安全,避免傳統掃描技術的被動特性。而這個動態的Web安全解決方案,必須提供持續動態的更新和全面的URL訪問防護。
徐學龍指出,從技術角度來看,互聯網的攻擊越來越多是通過Web2.0和Mail方式來進行,因此企業有必要針對Web2.0和Mail進行網關安全防御,在Web2.0和Mail的信息流設置安全閘道,把安全威脅隔離在企業網絡之外;從流程角度來看,企業對于隨時可能發生的安全威脅需要一套預警和響應流程,在關鍵時刻能夠得到專業安全廠商的技術支持服務,通過建立有效的預警和響應流程才能確保企業業務的連續性;從人員角度來看,許多安全問題與用戶的行為密切相關。企業需要給予員工安全意識培訓,通過提升用戶安全意識,才能有效地降低安全風險。
在動態、主動防范Web威脅方面,趨勢科技推出了Web信譽服務(Web Reputation Services-WRS)。據徐學龍介紹,趨勢科技為每個URL提供一個信譽分值,這個信譽分值基于該網站的存在時間長短、地理位置變化和歷史情況等諸多因素計算而來。通過信譽分值的比對,就可以知道某個URL潛在的風險級別。當用戶訪問具有潛在風險的網站時,就可以及時獲得系統提醒或阻止,Web信譽服務可以幫助用戶快速地確認目標網站的安全性。目前,趨勢科技將Web信譽服務加入到網絡版安全套件OfficeScan 8.0、互聯網網關安全設備IWSA3.1、郵件安全網關IMSA7.0以及Interscan網關安全設備IGSA1.5中,分別針對客戶端和網關處進行防護。
問題困擾企業內部信息安全
報告指出,缺乏統一管理易形成“木桶效應”、安全軟件誤報、電腦設備獨立升級占用企業帶寬、漏洞補丁升級滯后、終端安全缺失、BYOD環境下WIFI上網缺乏管理、安全制度落后等問題困擾企業內網。
安全制度落后和缺乏統一管理是問題的關鍵。對此, Gartner副總裁彼得·福斯特布魯克表示,企業安全屬于一種集體安全問題。一般來說,聯入內網系統的電腦中,只要有一臺電腦被黑客攻破,那么就有可能造成內網安全體系的崩潰和商業機密的泄漏。也就是說,安全性最差的一臺電腦實際上就決定了整個企業內網系統的安全級別,這就是企業安全問題中的“木桶效應”。而近年來隨著APT高級持續性威脅形式日益嚴峻,這種“木桶效應”暴漏的更加明顯。“完善的安全體系建設需要有產品做基礎,有技術做保障、有服務做配合、有制度做管理。只有產品、技術、服務、制度協調配合,多管齊下,才能保障企業內網的安全。”同時他強調,安全問題不只是技術問題,究其根本是人與人,人與組織,組織與組織之間圍繞利益的對抗行為。
脆弱的企業外網
隨著電子商務的崛起,建立官網進行對外宣傳和展示,以及進行相關產品的,已經成為企業的通用手段。因此,企業網站已經成為企業對外的一面鏡子,反射出企業的自身形象。但是這面鏡子在來自互聯網的攻擊面前卻十分脆弱,很多企業由于各種問題被黑客攻擊,造成用戶流失,導致巨額損失,并嚴重影響了企業自身的形象。
《報告》顯示,出現上述問題的原因,主要是由于企業網站存在漏洞,導致網站被拖庫、篡改和流量攻擊。同時,企業外網安全受到威脅的同時,也出現了一些新的趨勢:一是,病毒木馬的數量出現了明顯的下滑,但是釣魚網站呈現快速增長勢頭。來自中國互聯網中心的數據顯示,2012年新增釣魚網站87.3萬個,相比2011年增長73.9%。二是,網絡存儲和云共享成為木馬新興渠道。
解決方案分析
《報告》認為通過“邊界防御+云端防護+終端防護”的解決方案,能夠有效解決傳統的安全防護檢測手段單一、性能瓶頸、維護成本高、響應速度慢等問題。同時,鑒于云計算技術的普及,奇虎360總裁齊向東建議,在云端安全中使用分布式存儲、分布式計算。把云端安全體系移植進企業內網,能最大程度保障企業業務系統和數據的安全,有效降低資源占用率和運營成本;在邊界防護方案中可通過信息采集,進行協議還原對通信進行準入管理,阻斷攻擊。而在終端安全中需實現網絡準入控制、程序準入控制和硬件準入控制。
此外,《報告》還指出到2020年,絕大多數企業都將無法獨立的實現信息安全的保護。他們需要中央實體(如安全公司或政府)的統一管理和保護。而為了實現快速檢測和快速響應,企業需要通過中央實體來實現情報共享。海量的黑白名單服務和漏洞預警服務是實現企業情報信息共享的必要手段。
鏈接———企業信息安全關鍵詞
泛安全 未來五年或十年里網絡安全會變得更加嚴峻,現在的互聯網安全公司不能只把殺毒軟件當成安全產品,應該更廣泛地關注用戶的網絡安全需求。奇虎3 6 0總裁齊向東認為,除了電腦病毒外,用戶的互聯網安全還面臨很多其他威脅,例如數據泄露、信息騷擾等。互聯網安全公司不能只關注殺毒軟件等傳統安全產品,而應該更重視用戶體驗,把用戶遇到與安全有關的問題都解決好,這才是新的產品思路。
隨著基于Web環境下的應用越來越普遍,企業在信息化進程中將多種應用架設在Web平臺上。這些應用的功能和性能都不斷完善和提高,然而對安全卻沒有足夠重視。黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上,接踵而至的卻是Web安全威脅的凸顯。根據Gartner的調查顯示,目前成功的攻擊案例中有75%發生在應用層而菲網絡層面上。同時,數據也顯示,三分之二的Web站點缺乏有效的應用防護。
此時就出現了應用防火墻。它位于Web客戶端和Web服務器之間,這些防火墻會在Web服務器前的應用層對HTTP流量進行檢查。這些設備可以檢測一個鏈接,分析用戶對應用程序發出的命令。然后就可以分析出哪些是已知攻擊,哪些是標準應用的演變。
用戶對Web應用安全關注升溫
梭子魚中國區總經理何平在接受ZDNet采訪時表示,目前用戶對Web應用安全的關注度逐漸升溫主要源于面臨的三個問題。
第一種,地址轉移。比如某公司說DNS域名地址解析被篡改了,就意味著應用方面做得再安全也沒用,這個網站已經被轉接到另外一個服務器去了。
第二種,拒絕服務攻擊。通過密集性訪問占用服務帶寬資源,使得正常用戶應用無法進行。
第三種,針對企業的Web網站后臺數據庫的竊取、更改和破壞。主要的攻擊手段是SQL注入和跨站腳本攻擊,套取訪問用戶的用戶名、密碼等信息以及后臺數據竊取和破壞。
Web應用面臨的主要攻擊和威脅,后兩種居多。因為DNS被篡改這種方式有難度且偏少,后兩者難度小一點但是很頻繁。
誰更適合防護Web安全應用?
Web應用防火墻(Web Application Firewall,WAF)與IPS、防火墻、UTM等安全設備最大的不同在哪里?何平認為,從技術層面講,IPS是深度的包檢測的產品,屬于高級的網絡防火墻。IPS所保護的不僅僅是Web應用,IPS的檢測是標準化的,這就導致一個問題,它對單純的Web應用,包括SQL注入的檢查不是很專業,所以Web應用防火墻和IPS相比,它是更專業的基于Web防護的系統。
UTM是在網絡防火墻基礎上加上了部分的應用過濾功能。它可以阻擋一些非法網站的訪問。但是UTM、傳統防火墻或IPS。它們大部分功能還是在網絡層,具有部分的應用層功能。而且,它們并不是針對Web應用,比如IPS,對后臺很多種應用都可以進行防護,但是這個防護為粗略檢查,比如說兩個數據包先后被訪問,這兩個數據包利用時間差的關系,結合到一起能產生破壞力,這是IPS無法解決的問題。
何平強調,“雖然IPS和Web應用防火墻的部署點都是在數據中心前端,但Web應用防火墻的部署應在物理和邏輯上更靠近Web服務器,用以檢查代碼合成的用意,從而阻斷非法的數據包訪問。防火墻和UTM更多強調內網安全,它們檢查企業內外網之間的通信以規范對外訪問和保護內網安全。”
認識Web應用防火墻
1 功能
Web應用防火墻從功能角度來說有三個部分。
(1)網站隱身。禁止用戶獲取Web服務器、應用服務器、數據庫服務器的版本信息或提供不真實信息。很多攻擊者的手段很簡單,第一先搞清楚Web服務器版本和應用服務器的版本是什么,第二去找這個版本有哪些漏洞。第三去找利用這些漏洞,網上有哪些現成的工具,這是很常規的黑客攻擊手法。
(2)安全檢查。簡單地說,就是避免非法用戶訪問。避免用戶采用非法命令訪問。
(3)應用加速。Web應用防火墻本身是功能和性能統一化的產品,功能很強意味著安全檢查做得很好。安全性很高會帶來一些代價,就是時間延遲的代價,Web應用防火墻通過這種應用加速把這種延遲的代價進行回補、彌補、再進行加速。
也就是說,Web應用防火墻在整個用戶眼里是透明的,但是它做了兩個工作,又檢查又加速。
2 價值
Web應用防火墻最大的價值不單純在于它的安全防護,它的價值是一種應用交互的平臺。打個比方。企業要上一套ERP系統,基于Web平臺的,BS架構的。本來是希望找一個軟件供應商三個月做完,需要具備所有功能。開發商所考慮的問題是功能性需求,如果開發商把安全性因素都考慮進來,開發周期至少會延長50%,甚至100%。所以對整個軟件交付的周期和成本會非常高。但是有了Web應用防火墻就不一樣了,開發商只要把功能做好就行了,因為Web應用防火墻可以幫助企業完成安全性的工作,這樣交付周期會提高很多。
同時,系統上線以后可能存在一些功能需求變更,增加新功能要打補丁,就會有新的漏洞出現,意味著要面臨新的安全威脅。這個時候Web應用防火墻功能又體現出來,也就是說,Web應用防火墻最核心的價值有兩塊,第一是縮短用戶的應用交付時間,二是為用戶的應用運維提供一個最低成本的方案。
3 行業屬性
Web應用防火墻行業屬性非常明顯,更適合大型企業,或者是政府機構。針對的客戶群有兩種,第一種針對經濟效益以及機密數據的要求比較高。比如說移動、電信等用戶。另外是針對政府和軍隊,如果說網站被攻擊了,可能帶來的不是經濟上的,而是政治上的影響。
何平告訴我們,目前在中國市場上,對Web應用防火墻需求比較明確的客戶,包含政府、軍隊、上市公司,以及銀行和電信。另外,高校應用也比較多。教育系統都含有比較敏感的信息,所以教育行業Web應用防火墻部署也很普遍。
拯救你的Web應用
企業選擇Web應用防火墻應關注Web應用防火墻本身的功能,及它的可配置性。選擇一款功能強大的Web應用安全產品,又可以根據需求開啟企業所需的功能是比較適合的。因為企業的應用是變化的。今天的應用僅僅是上一個ERP系統。明天上SCM,后天上CRM,而且可能這三個產品是不同供應商提供的,它的安全級別也不一樣。所以Web應用防火墻產品只有功能很強大、可配置,才能適應企業不同的需求變更。
軟件WAF VS硬件WAF――Web應用防火墻在產品的表現形式,一種是純軟件的Web應用防火墻,裝到服務器上,放在網關起到過濾作用。但是何平建議,“用戶最好選擇硬件的系統,硬件是一種專用的網關設備,服務器畢竟是計算平臺,不是網絡平臺。”
有些用戶可以選擇純軟件的產品,比如企業已經部署好虛擬化平臺的,企業的OA系統、ERP系統,已經完全基于虛擬化平臺部署的,這時候選擇Web應用防火墻可以考慮買一個虛擬化版本的平臺。這樣相當于開一個虛擬化機器一樣,計算平臺和網絡平臺可以充分利用,只是應用它的功能而已。
Web應用安全策略――對于企業系統應用的用戶訪問量不是很大,比如系統大概一千多個用戶,但是應用很關鍵,都涉及到企業機密的這些東西,這時候部署Web應用防火墻肯定足夠了。因為這種訪問 量的帶寬要求并不高,因為用戶數量有限。
但是對用戶可能同時在線有幾十萬,上百萬,比如零售、銀行這樣的網站,這種情況下單純部署Web應用防火墻的話,相當于用牛刀殺雞。這種安全性威脅并不大,但是量非常大,最好是在前端部署IPS,后端再加Web應用防火墻。
方案配置――一個產品的方案配置通常是通過三個階段來完成的。第一個階段,上了Web應用防火墻之后,首先針對后臺應用進行掃描,以確定應用存在哪些漏洞。然后生成第一個版本的配置數據,比如如果發現用戶校驗有問題。那就加強這一塊的防護級別,這是第一階段。第二階段,聽取用戶的需求,因為不同的行業,黑客所感興趣的東西不一樣,采用的手段也不一樣。把受攻擊手段最多的那一塊進行優化加強。第三,Web應用防火墻本身是一個技術平臺,它是一個基于Web的技術解決方案,針對不同行業防護策略也有差別。防護策略的差別是通過原來最早的自動掃描,加上用戶需求,加上Web攻擊的屬性三者來決定的。
Web應用安全產品走向哪里?
隨著對Web應用安全的更加細分,何平認為未來會出現比Web應用防火墻現有的功能需要更細分的一個產品,所以Web應用防火墻可能會演化為兩種。
第一種是被替代,Web威脅可能越來越細分了,一細分就需要單獨的系統去管理。
還有一種,功能會越來越強大,這種功能強大不是單純的本身功能,而是說從一個產品變成一個平臺,它會結合很多第三方的資源和專利技術,為用戶提供更有針對性的、可定制化的安全解決方案。
梭子魚的Web應用安全產品已經從原來單純對整個Web隱身、檢查和加速的基礎上,增加了一些和第三方的接口,目前大概支持至少十幾個不同廠商的更細分的Web安全解決方案。比如和IBM的網站漏洞掃描系統的接口,和RSA的令牌接口等,也就意味著Web防火墻從一個單純性產品變成一個安全平臺了,這種演化的目的是應對更加細致的安全需求。
另外,也有一些共性的趨勢。比如虛擬化,因為大型企業虛擬化的平臺部署越來越多,整個Web應用防火墻的解決方案,虛擬化部署的比例會提高。
還有,與云安全技術的結合,以前的Web應用防火墻更多的是本地計算,比如說零日攻擊,解決問題的同時把這個信息上傳到全球的云系統里面去。當另外一臺設備發現同樣的性能代碼的時候。它能掃描以前的阻斷方式是什么。Web應用防火墻歸納起來有三個趨勢,一個是功能平臺化,第二是部署的虛擬化。第三是防護的云化。
隨著Web2.0技術的普及,網絡傳輸的內容不再僅限于文字和圖片,很多視頻應用也需要網絡點播來實現。這些視頻應用往往要求提升用戶的觀影體驗,以達到廣告宣傳或滿足觀眾需求的目的。這就要求后臺系統具備高傳輸率、數據同步、數據流分流、高穩定性等特征。而實現網絡音、視頻流暢傳輸的領先解決方案是流式媒體傳輸。
在流媒體系統中,數據流量往往很大,對視頻點播并發流量的負載能力要求很高,單一服務器往往難以負載。在這種情況下,通常有三種解決方法,即升級網絡帶寬、升級服務器配置或增加服務器,或者是選擇用最大的壓縮技術來壓縮視頻文件。不過,這三種方法都具有一定局限性:升級網絡帶寬和升級服務器通常會同時進行,短時間內可以起到緩解作用,但一段時間之后仍將面臨升級問題,并且會造成資源浪費,甚至可能出現硬件性能卓越但卻無法滿足業務發展需求的狀況;壓縮視頻文件可以減輕服務器的負擔,但視頻清晰度也會相應降低,用戶體驗將受到影響。
在這種情況下,負載均衡解決方案應運而生。通常情況下,負載均衡解決方案需要解決以下幾個問題:如何保證客戶服務的穩定性,如何實現流媒體服務器集群的高可用性,如何讓硬件設備發揮最大的處理能力,如何使整個系統具有良好的可擴展性。
為解決以上這些問題,負載均衡解決方案需要滿足以下四個要求:采用負載均衡設備對后端的流媒體服務器集群進行連接請求的分配,盡量使各臺流媒體服務器的負載均衡,并能進行實時健康檢查,及時移除出故障的服務器;能正確處理同一個RSTP(Real-Time Streaming Protocol)請求中的TCP和UDP連接;能對同一個用戶的請求進行會話保持,確保用戶使用流媒體服務的質量和流暢性;由于流媒體應用中上行流量遠遠小于下行流量,因此負載均衡解決方案需要采用直接路由技術。
梭子魚為某視頻點播網站提供的負載均衡解決方案如下:采用兩臺梭子魚服務器負載均衡機LB440的雙機HA冗余結構,實現對后端多臺流媒體服務器的實時負載均衡;采用梭子魚LB440特有的負載均衡算法保證大量的流媒體連接請求負載實時高效均衡;采用梭子魚LB440對每臺流媒體服務器的服務端口進行健康檢查,當某臺流媒體服務器發生故障,則停止該臺設備的工作,并從整個負載均衡隊列中自動移除;提供SSL卸載和加速功能,避免SSL加解密運算對服務器造成額外壓力,提高服務器的處理能力,保證HTTPS訪問的高效、安全、可靠;基于應用的結構,便于業務系統無縫拓展,幫助用戶降低成本。
梭子魚負載均衡解決方案具有以下多個優勢:
該解決方案性能卓越。梭子魚LB440負載均衡機提供業界領先的服務器負載均衡性能,支持每秒10萬個新建連接以及900萬個并發連接。
一般來說,流媒體服務會使用一個TCP連接(如RTSP協議)進行帶寬協商和流速控制,通過UDP將流數據返回客戶。梭子魚LB440負載均衡機擁有IP及Cookie的會話保持功能,保證來自同一客戶的TCP和UDP連接會被轉發到集群中的同一臺媒體服務器,使媒體服務可以準確無誤地運行。而普通的NAT技術由于針對TCP和UDP請求進行分開處理,往往會使兩個請求分發到不同服務器,導致會話失敗。
梭子魚服務器負載均衡機獨特的無跳線連接心跳監控方式,能實現快速切換,而這正是集群流媒體服務等實時關鍵系統所必需的。
前幾年曾讓我們無所適從的蠕蟲病毒,在今天已經成為司空見慣的安全事件,即便它能發作,也不會造成太大的損失,因為,我們在意識上和技術上能夠解決它了。
然而,蠕蟲病毒的威脅雖然有所降低,但是取代它們的卻是破壞程度呈幾何級數增長的混合威脅。這種新病毒結合了傳統電子郵件病毒的破壞性和新型的攻擊能力,不僅可以攻擊企業網絡的漏洞,而且還可能盜取企業的核心數據和信息。
混合威脅的傳播速度非常快,其造成的破壞程度也要比以前的計算機病毒所造成的破壞大得多。
然而,許多企業雖然知道面臨著計算機病毒攻擊的危險,卻沒有做好充分的準備來應付混合威脅的攻擊。隨著混合威脅的不斷泛濫,對主動和深層防護技術的需求也越來越明顯,人們希望在混合威脅為網絡造成破壞之前,就將其遏制。
要想有效地對付混合威脅,我們不妨從兩個方面著手。一是提高安全意識,規范上網行為,不主動地觸及混合類威脅;二是提高網關處的安全防護能力,在網關處將威脅進行主動封堵。
過去,企業都非常注重外網的安全,認為外網安全了,就是全網安全了。這種觀點實際上有些理想化,而且已經得到驗證。據統計,有許多網絡安全問題都是由于內部員工所引起的。例如,在員工瀏覽、利用即時通訊和訪問購物網站的時候,一些間諜軟件、廣告軟件等惡意軟件就會不知不覺地下載到電腦中,接下來,這些惡意軟件就會在企業內部網絡中進行傳播。
據CSI對484家公司調查的結果顯示,超過85%的安全威脅來自企業內部;16%內部未授權的存取。
因此,企業的網絡安全風險來自于企業內部和外部,而不僅僅是外部。為了摒除內部安全問題潛在的威脅,企業需要一整套有效的網絡監控、管理和報表解決方案。
8e6提供的上網行為管理技術,具備隱藏式過濾技術和詳細報表功能,監控但不阻擋瀏覽的能力以及靈活地根據客戶需求進行定制。
這樣,在企業員工訪問互聯網的第一時間,就對所要訪問的對象進行了過濾和篩選,含有惡意代碼的不良網站,就會自動地被阻擋。
8e6對過濾服務器進行了完美優化,提供了最大網絡流量。許多過濾技術在過濾互聯網訪問的內容時,往往會降低網絡速度。然而,8e6 R3000作為網絡服務器,它只會在網絡流量之外“觀查”網絡狀態,而不會去“阻止和檢測”站點的請求。
利用“可視”方式,R3000可以避免和清除“過濾器的瓶頸”問題。從不接觸數據包意味著R3000在失效事件中不會中斷組織的互聯網連接。然而,其它的相關軟件需要安裝多個不同的服務器,R3000可以利用一個服務器支持30000多個用戶,為企業提供了一個強大的、高可擴展的過濾解決方案。
如果一個企業能夠成功地解決內部安全的問題,安全防護就意味著成功了一半。接下來,就要想辦法在網絡的“大門”處部署主動防御方案了。網關是企業網絡連接到另一個網絡的關口,企業所有與外界的網絡交流都要流經這個關口。網關就象是一扇大門,一旦大門敞開,企業的整個網絡信息就會暴露無遺。
據統計,80%的病毒是通過互聯網侵入到企業網絡當中的,由此可見,電子郵件是傳播病毒的主要來源。
從安全角度來看,對網關的防護得當,就能起到“一夫當關,萬夫莫開”的作用。所有進入企業網絡的電子郵件在到達郵件服務器之前,都要經過網關這道關的嚴格監測。網關能夠檢測進出網絡內部的數據,對HTTP、FTP、SMTP三種協議的數據進行病毒掃描,一旦發現病毒就會采取相應的手段進行隔離或查殺。
McAfee SIG安全網關不僅能夠攔截已知病毒,而且還能截獲未知病毒,保護企業網絡免受零日攻擊和新病毒威脅。同時,通過過濾HTTP和FTP流量來保護企業網絡免受間諜軟件、 廣告軟件、撥號程序、按鍵記錄類程序和后門的侵擾。
除了防止病毒、惡意軟件通過網關進入企業網絡之外,安全網關的另一個重要責任就是封堵垃圾郵件。McAfee的垃圾郵件防護模塊與 McAfee SIG完全集成,可通過一個可選許可證使用該模塊。
垃圾郵件防護模塊采用極其復雜的技術來檢測并攔截垃圾郵件和網絡釣魚詐騙攻擊:完整性分析、啟發式檢測、內容過濾、黑名單和白名單支持、DNS 攔截列表支持和貝葉斯過濾。
時常更新,確保您的保護始終處于最新狀態。用戶不僅可以獲取作為垃圾郵件被攔截的郵件的每日摘要,還可以管理他們的垃圾郵件隔離、黑名單和白名單。無論采用什么樣的安全解決方案,網關保護則是整個反病毒策略解決方案的一個關鍵組成部分。
混合威脅不斷發展,單一的防護措施已經無能為力,企業需要對網絡進行多層、深層的防護才能有效。真正的深層防護體系不僅能夠發現惡意代碼,而且還能夠主動地阻止惡意代碼的攻擊。
談到深層防護體系,一定要談到入侵防護系統(IPS)。IPS的出現可謂是企業網絡安全的革命性創新。IPS的出現不僅解決了目前其它安全解決方案不能解決的問題,而且還為企業節省了開銷。
比如,美國的一家財務公司,在全球有12個分支機構,原來使用250個許可證的IDS產品,目前,采用30個許可證的McAfee IPS產品就能實現全球網絡的入侵防護,而管理人員只需要3至4人,效率卻提高了6倍以上。
東莞市唯一網絡科技有限公司(簡稱唯一網絡)作為深耕IDC行業近9年的互聯網增值業務提供商,業務從簡單的服務器租用升級為IDC綜合服務提供商,從無名小企業發展成為行業內知名企業。如今,唯一網絡將“做中國最好的IDC服務提供商”的作為目標,給了突圍中的IDC企業一個清晰的方向。
專注行業 砥礪前行
很多人對IDC還不甚了解。IDC即Internet Data Center,互聯網數據中心,是基于互聯網進行集中式的數據收集、存儲、處理和發送的設備提供運行維護和增值服務的設施基地。IDC提供的主要業務包括域名注冊查詢、主機托管、資源出租、系統維護、管理服務,以及其他支撐、運行服務等。
“簡單來說,通過IDC服務,企業或政府機構無需再建立自己的專門機房、鋪設昂貴的通信線路,也無需高薪聘請網絡工程師,即可解決自己使用互聯網的許多專業需求。”唯一網絡董事長王宇杰介紹說。
唯一網絡成立于2005年8月,是一家為客戶提供服務器租用、服務器托管、機柜大帶寬、網絡安全、CDN加速等互聯網增值業務解決方案的企業,是業內知名的互聯網增值業務提供商。日前,唯一網絡取得了工業和信息化部頒發的增值電信業務經營許可證(ICP/ISP/IDC/SP),并成為中國互聯網絡信息中心(CNNIC)會員單位(擁有AS自治域號)。
在公司創立之初,面對互聯網帶來的眾多市場機遇,王宇杰選擇了將游戲行業作為市場突破口,并成功闖出一片天地。歷經7年的努力,在他帶領下,唯一網絡成長為業內領先的知名企業。
如今,唯一網絡在東莞設立了總部,在北京、深圳、合肥、紹興、泉州、廈門、長沙等地設有分公司,服務范圍遍布全國31個省市和地區,現已擁有多個獨立自主經營的電信級互聯網數據中心。服務客戶近2000家,服務對象主要包括網絡游戲、視頻網站、電子商務平臺、互聯網門戶、政府及企業網站等,業務規模可觀。
同時,唯一網絡在服務上也做了提升,該公司提供365×24小時的運維技術支持,400全國咨詢服務電話,近百人的技術服務團隊和機房駐守人員,并設有VIP快速服務通道,能夠及時、有效處理故障。
唯一網絡正在朝著成為中國最好的IDC服務提供商這一目標前進。
云防護系統助力網絡環境更安全
隨著互聯網的不斷普及、網絡帶寬的不斷加大,高速廣泛連接的網絡給用戶帶來了方便,也給網絡服務商帶來了很多安全隱患。
據悉,唯一網絡致力于為用戶提供更安全的網絡環境,其最新研發的云安全防護系統已正式推出。據唯一網絡總經理陳秋華介紹,該系統是集成所有已部署的DDoS、域名系統(DNS)、抄送(CC)等防御資源,為用戶提供高效的整體網絡安全解決方案,給用戶營造安全、穩定的網絡環境。
陳秋華進一步解釋說,所謂集成,就是云防護系統對網站接入采取“先備案、后接入”的原則,凡是沒在工業和信息化部備案的域名網站,一律不允許接入,防止不明網站的攻擊。系統采取“黑、白名單制”,將部署在唯一網絡內的服務器和數據中心的網站加入“白名單”,系統通過自動化手段監控。而涉及“涉毒、涉賭、涉黃、反政府”等有害信息的網站,系統會將其列入“黑名單”,并進行屏蔽、刪除,服務器做下架處理,以確保唯一網絡為用戶提供的內容是健康和綠色的。
目前,唯一網絡在全國已自建4個超過100G的防護級別數據中心(總防護量超過500G),并和國內、國際多個電信運營商建立良好的合作關系,通過網絡實時監控,為客戶提供快速的異常流量響應和清洗工作,廣受客戶認可。
深挖客戶需求
把握市場走向
“唯一網絡異常流量監控系統能監測到頁游客戶的設備流量變化,包括正常業務流量調度引起的變化和異常流量流入、流出造成的變化。如果有異常流量,監控系統發出警告后,網絡操作中心成員負責細節排查確認,響應中心成員則即時告知我們。這套系統能比技術人員先一步發現問題,給我們減免了很多麻煩和損失。”一家網頁游戲開發商使用該系統后做出了這樣的評價。
知名頁游客戶的肯定堅定了唯一網絡進一步提升服務水平的信心。唯一網絡將始終關注客戶的需求,切實為用戶營造安全的網絡環境。
目前,針對新業務的技術特點和安全防護要點的安全產品和手段也不斷出現。可以預見的是,擁有高安全性能且穩定的產品和及時的服務的廠商將更有市場。
從IDC向綜合
服務提供商轉型
隨著IDC技術的不斷發展,國內IDC廠商不僅應看到成長型市場帶來的機遇,還應當看到諸多已經進入中國市場的國際IDC廠商為市場帶來的新鮮血液和巨大挑戰。在市場驅動下,傳統IDC服務商必須向綜合服務提供商轉型。
賽迪顧問的統計顯示,2012年網絡安全測試和方案、數據備份業務、虛擬專用網成為IDC領域的前三大增值業務,分別占14.6%、14.2%和13.6%。數據說明,一方面IDC用戶的需求個性化不斷增大,對增值業務的需求量越來越大;另一方面,基本的安全、加速、存儲等業務依然占增值業務市場的重頭,整個市場業務多樣化有待加強。
為此,王宇杰指出,目前IDC業務應當由以資源型和應用型業務為主,向以能力型業務為主轉型;由單一的基礎類業務,向提供基礎類服務+增值服務+應用類服務升級。
關鍵詞:網絡安全;攻防訓練;平臺設計
近年來,隨著計算機網絡和信息系統應用加速,各類信息安全和網絡攻擊事件時有發生,防不勝防,并且逐步滲透到國家安全、經濟發展、人民生活的各個領域,使得當今社會對信息安全人才的需求日益緊迫和突出。目前開展網絡攻防訓練存在以下幾個制約因素:(1)構建真實的物理平臺需要優質的物理設備和復雜的實現環境,費用昂貴、模擬規模有限且設備更新換代較慢,不利于對最新網絡安全技術的學習和掌握。(2)網絡攻防實驗一般對網絡設備具有破壞性,在真實的網絡中開展攻防實驗管理難度大,訓練風險高[1]。(3)采用OPNET和NS2等網絡安全仿真軟件存在仿真對象單一、平臺制約多、缺乏系統性等問題。本文借助虛擬化技術,采用B/S架構設計并實現一種集攻擊、防護訓練及學習功能于一體的網絡安全攻防訓練平臺。該平臺充分利用現有的設備和網絡基礎設施環境,設備資源利用率高、組建靈活,可擴展性強,利于系統地開展網絡攻防訓練。
1平臺架構及功能設計
1.1平臺系統架構
平臺分為物理資源層、虛擬化層和用戶管理層3個層次:(1)物理資源層主要包括物理計算機、服務器、存儲設備及網絡等。(2)虛擬化層是攻防訓練平臺的底層核心,將互聯的物理計算機和存儲設備虛擬化為由內存、顯卡、磁盤和CPU組成的網絡資源池,通過虛擬化可在資源池上運行多個共享資源虛擬機,以實現不同應用。(3)用戶管理層是攻防訓練平臺的應用核心,主要包括靶場中心、工具臺、實訓中心、管理控制中心4個功能模塊,用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓練平臺進行攻防訓練。
1.2平臺功能設計
(1)實訓中心以課程為向導,分為攻擊和防護兩大方面,區分具體類別提供配套電子實驗指導書、知識庫、漏洞庫等,供參訓人員自主選擇學習。(2)工具臺集合了訓練中所用到的各種攻擊防御工具,按不同的類別進行分類,用戶訓練時可通過Web網頁下載工具臺當中的工具供訓練使用。(3)靶場中心是靶機的集合,為網絡攻防訓練提供目標和環境。靶機(TargetsHosts)上預置了存在安全漏洞的網站、應用程序或是操作系統等,攻擊者可以通過查找漏洞進行相應的攻擊訓練,防護者通過修復漏洞練習網絡防護技巧。(4)管理控制臺主要包括監控管理和系統維護兩個方面的功能。監控管理可根據定義好的規則過濾網卡的流量,從而通過抓取正在訓練的虛擬機的流量包,對整個平臺正在訓練的虛擬機進行監控,并采集大量真實的數據信息用于后續分析。對網絡攻防訓練平臺的系統維護可以分為基本維護管理和高級維護管理兩類。基本維護管理主要是對平臺門戶網站的維護,包括網站內容更新、欄目管理、工具臺列表更新等日常維護。高級維護管理主要是指對攻防訓練平臺基礎結構進行調整,包括添加新服務器對虛擬資源池進行擴展,部署新的工具臺虛擬主機(ToolsHosts),在工具臺中添加新的攻擊工具,根據新發現的漏洞建立相應的靶機環境,以及為現有工具臺、靶機調整虛擬硬件資源等。
2系統實現
2.1虛擬化解決方案
虛擬化是一個簡化管理、優化資源的解決方案,通過虛擬化可以把有限的固定資源根據不同需求重新規劃,以達到最大利用率。綜合考慮適用性及軟件成本,筆者采用VMware公司的基于vSphere的服務器虛擬化解決方案[2]。vSphere可提供包括計算、存儲、網絡的基礎架構服務以及包括可用性、安全性、可擴展性的應用程序服務[3]。在本平臺中使用了vSphere的VMwareESXi,VMwarevSphereClient和VMwarevCenterServer功能組件,如圖1所示。VMwareESXi是VMwarevSphere的核心組件,安裝好ESXi的服務器稱之為ESXi主機。ESXi從內核級支持硬件虛擬化,提供強健的、高性能虛擬化層,允許在ESXi主機上創建的多個虛擬機共享硬件資源。VMwarevCenterServer是VMwarevSphere的ESXi主機和虛擬機集中管理組件[4],能使用標準化模板在ESXi主機上快速部署虛擬機,并對其提供集中化管理、配置和性能監控。VMwareVSphereClient是VMwarevSphere的管理端,可以用來遠程登錄并管理VMwarevCenterServer服務器。本平臺中可以通過vSphereClient遠程連接控制單臺ESXi主機,也可以通過vSphereClient登錄VMwarevCenterServer,集中管理多臺ESXi主機及其上的虛擬機。為了保證網絡安全攻防訓練平臺的性能,我們使用vSphereHA(高可用)技術,當服務器集群中硬件失效時,實現虛擬服務器自動在集群中另一個主機上重啟。使用VSphereDRS(分布式資源管理)技術,在不同ESXi主機間進行虛擬機的遷移,從而自動平衡ESXi集群的負載,并且可根據資源分配策略,設置虛擬機優先級和限制虛擬機資源使用等,對集群范圍內的資源進行分配,從而提升平臺的整體性能[5]。
2.2工具臺
工具臺用于存放攻防訓練平臺的常用攻防工具,創建工具臺的過程如圖2所示,共分4步。(1)通過VMwarevCenterServer新建虛擬機;(2)在虛擬機中,安裝攻防工具包,并對其可用性、穩定性等基本情況進行測試;(3)在完成攻防工具的安裝部署后,更新平臺網站的攻防工具列表使其可以通過網頁被調用,攻防工具列表以csv格式存儲,使用DMcsvEditor工具進行編輯;(4)在平臺網站中添加新的頁面鏈接,使用戶可以調用攻防工具。
2.3靶場中心
靶場中心為網絡攻防訓練提供目標和環境,首先通過VMwarevCenterServer新建虛擬機作為靶機,然后在靶機中安裝存在漏洞的操作系統、應用程序或是部署存在漏洞的網站等,在部署完成后更新平臺網站的靶機鏈接,使用戶可以通過平臺網站直接獲取靶機的信息進行攻擊和防護,也可以通過平臺提供的工具間接對靶機進行攻擊和防護。
2.4實訓中心
實訓中心以課程為向導,分為攻擊和防護兩大方面。攻擊方面從“按攻擊方法”和“按攻擊對象”兩個維度將全部課程分類,課程按照攻擊方法可分為“信息收集”“木馬病毒”“密碼破解”“網絡欺騙”“溢出攻擊”“DOS攻擊”“逆向工程”等類別;按照攻擊對象可分為“操作系統”“應用平臺”“交換機”“防火墻”“VPN”等類別,并提供配套電子實驗指導書。防護方面包括防火墻、入侵檢測系統、路由器、交換機的配置應用訓練,以及網絡安全知識庫,共享漏洞庫。網絡安全知識庫主要是以文字的形式提供網絡安全防護基本概念和常用的防護手段等。共享漏洞庫主要是用于實時更新、各類已知的共享漏洞,并提供各類漏洞的解決方案,以便用戶了解最新漏洞并盡快對其修補。
2.5部署方式
平臺采用B/S架構,創建平臺門戶網站,用戶不僅可以在局域網內實訓,也可以通過互聯網使用瀏覽器對平臺進行遠端訪問和操作。本平臺打破訓練模式的局限,可實現用戶隨時隨地參與線上訓練。
3結語
網絡安全攻防平臺的實現降低了網絡攻防實驗對物理設備和實際網絡環境的破壞性,減少訓練成本的投入,且能夠通過因特網實現線上訓練,滿足不同層次人員對網絡攻擊、防御過程及細節學習和訓練的需求,具有較大實用價值。
[參考文獻]
[1]張力,周漢清.基于云計算技術的網絡安全攻防實驗平臺設計[J].軟件導刊,2015(9):188-191.
[2]底曉強,張宇昕,趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].2015(4):147-151.
[3]VMware中國網站.vSphere產品[EB/OL].(2014-09-25)[2017-10-15].http:
[4]黃曉芳.網絡攻防實驗平臺開發與實現[J].實驗技術與管理,2017(5):73-76.
東軟NetEye網絡流量凈化網關NTPG(Network Traffic Purifying Gateway),是面向骨干鏈路流量的實時甄別、異常流量過濾的網關類設備,其主要用途在于對高帶寬流量中夾雜的DDoS攻擊提供實時檢測和防御,保證網絡主導業務(如HTTP、Email、FTP等應用)所需帶寬等各項服務質量指標的優先提供,為滿足運營商、大型企業用戶網絡應用基本面的服務質量保證提供總體控制。
功能特色
DDoS識別與清洗功能 DDoS識別與清洗功能是東軟NTPG產品的核心,主要功能是對過往流量進行異常甄別和過濾凈化。
流量統計分析 NTPG系列產品提供了友善的基于Web的管理方式,可以對過往的全局流量、流經受保護對象的流量、DDoS流量以及觸發設定策略的DDoS事件等進行統計分析。
用戶的分權管理與審計管理 為了保證安全性,NTPG產品采用了用戶的分權管理。
性能擴展積木式 NTPG通過采用積木式的性能擴展方式實現了集群部署,從而保持了系統處理性能與部署代價較為理想的線性增長關系。
黑白名單管理 黑白名單模塊采用了簡潔而高效的數據結構和算法,用戶可以根據業務需要設置白名單用于實現重要業務流量的快速通過,也可以設置黑名單以阻斷已知的異常流量。
應用情況
東軟NTPG系列產品支持透明、路由等多種部署模式,提供2至4Gbps范圍內的單機吞吐性能,并能夠通過集群部署方案實現處理能力線性擴容,在電信運營商、IDC數據中心、高校園區網、大中企業網絡各種拓撲環境中均具備良好的適用性。
華為Anti-DDoS解決方案
華為Anti-DDoS解決方案包含檢測中心、清洗中心和ATIC管理中心三個部分: 檢測中心負責對流量進行檢測,發現異常流量后通知管理中心; 清洗中心負責引流、清洗,并把清洗后的正常流量回注; ATIC管理中心負責Anti-DDoS方案中所有組成部分的統一調度,包括檢測中心、清洗中心的集中管理、業務配置、報表呈現等,管理中心支持集中式部署和分布式部署兩種方式,因此具備很好的可擴展性。
功能特色
有效保障用戶投資 華為Anti-DDoS解決方案中的檢測中心和清洗中心,是基于Eudemon8000E的Anti-DDoS檢測清洗板卡搭建,Anti-DDoS檢測清洗板卡通過軟件功能區分清洗板和檢測板。檢測清洗板卡基于多核多線程架構,確保大流量的Anti-DDoS檢測和清洗業務并發處理。
全面的運營特性 華為Anti-DDoS解決方案提供專業的Anti-DDoS運營管理平臺,該管理平臺支持基于大客戶的差異化Anti-DDoS防護; 支持清洗帶寬獨享和共享的Anti-DDoS防護能力; 提供面向運營的服務租期管理; 針對復雜的運營場景提供多樣化的引流配置; 擁有靈活可定制的報表系統。
高性能的Anti-DDoS能力 針對流量型攻擊,能夠提供單框80G的Anti-DDoS防護能力; 針對應用層攻擊,能夠防御HTTP、HTTPS 、DNS、SIP等多達幾十種的攻擊類型,確保客戶業務不中斷。
應用情況
華為Anti-DDoS解決方案支持運營商網絡中存在的多種Anti-DDoS場景,從骨干網的出口防護,到IDC的專門保護; 從運營商的自身網絡DDoS保護,到為最終客戶提供定制化的Anti-DDoS運營服務; 從大流量、網絡層的擁塞型DDoS攻擊防護,到應用層的DDoS攻擊防護。
思科 Guard XT 5650 DDoS 防御設備
Cisco Guard XT 5650 DDoS 防御設備能夠防御范圍廣泛的DDoS攻擊,這些攻擊由看來合法的請求、大量“zombies” 和偽裝身份組成。Cisco Guard XT 基于多驗證流程(MVP) 架構,采用了異常流量識別、源驗證以及防偽裝技術,來識別和阻攔攻擊流量,同時允許合法流量通過。同時,Cisco Traffic Anomaly Detector XT 與Cisco Guard XT 相結合,能夠檢測、轉移、隔離和刪除惡意攻擊流量,且不影響合法流量,從而為網絡和關鍵業務流量提供保障。
功能特色
一個Cisco Guard XT 擁有兩個千兆以太網接口,能以全Gbps 的線速來處理攻擊流量; 多個Cisco Guard XT 共用,能逐步擴展以支持多千兆速率,提供一個可擴展的解決方案,適用于不斷擴展的大型企業環境;
直觀的GUI 和可擴展的多級監控和報告,能提供對于所有攻擊活動的全面概述;
保護Web 服務器、電子郵件服務器、DNS 服務器和其他網絡資源免遭DDoS 攻擊;
提供范圍廣泛的DDoS 攻擊防御;
以1Gbps 線速處理攻擊流量;
對基于異常流量的攻擊提供“零日”防御。
應用情況
思科DDoS防御設備可以保護數據中心、網絡基礎設施和用戶接入帶寬免遭DDoS攻擊; 為大型企業和電信運營商部署提供多千兆保護; 并且,防御最為廣泛的偽裝攻擊、非偽裝攻擊和zombie攻擊。
綠盟抗拒絕服務系統
綠盟抗拒絕服務系統(NSFocus Anti-DDoS System,簡稱NSFocus ADS)作為綠盟科技流量清洗解決方案中的核心產品,可以智能識別針對企業局域網、互聯網站、IDC、城域網、骨干網中進行的DDoS攻擊,并通過流量建模、反欺騙、協議棧行為模式分析、特定應用防護、用戶行為模式分析、動態指紋識別、帶寬控制等多種技術手段,準確、迅速地阻斷攻擊流量,從而保證正常流量通過。
功能特色
防護各類基于網絡層、傳輸層及應用層的拒絕服務攻擊,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡等常見的攻擊行為;
借助內嵌的“智能多層識別凈化矩陣”,實現基于行為異常的攻擊檢測和過濾機制,而不依賴于傳統的規則庫匹配等方式;
提供完備的流量檢測、網絡監控、設備管理及報表生成功能;
支持靈活的部署方式,適用于多種復雜的網絡環境;
通過方案設計,可以組成具備10Gbps以上海量攻擊防御能力的系統。
神州數碼DCFW-1800-WAF 系列Web應用防火墻是神州數碼研究開發的面向政府、教育、企業行業用戶的新一代高性能應用層網絡安全網關,能夠為各種用戶規模的Web應用提供立體化安全防護解決方案。
產品架構
DCN WAF的產品包含安全中心、功能引擎、特征維護三大部分,方便用戶在各種網絡環境下的部署和管理。
安全中心包括管理中心、數據中心、日志報警、告警模塊等組件,給用戶呈現被保護網站的方方面面量化數據。功能引擎實現多種防護功能,保障被保護網站的可用性、安全性、可靠性、可視性等方面。特征維護以DCN應用安全防御中心為核心,定期更新攻擊特征庫、網站漏洞庫和應用安全知識庫,并通過規則升級加載到DCN WAF產品設備中,保障DCN WAF的防護效果。
產品特性
DCN WAF具有以下主要特點:HTTPS加密信息防護,多維細粒度防護引擎,及時權威的攻擊特征庫,強大靈活的策略模板,安全可靠的產品系統。下面分別加以闡述:
多維細粒度防護引擎
DCN WAF采用了業界領先的多維細粒度防護引擎,解決了網絡層防護深度不夠和應用層防護的效率低下的難題。
DCN WAF采用多核處理技術,并行深度處理Web請求會話內容,能支持大訪問量網站的應用層防護,達到高效的防護效果。防護引擎的多維防護體現在:DCN WAF的攻擊檢測是攻擊特征匹配和異常行為建模相結合的檢測策略,當有新出現的0day攻擊爆發時,即使攻擊特征庫沒有及時更新,DCN WAF也能根據攻擊行為防護住未知攻擊。DCN WAF同時檢測Web會話發送的請求和返回的內容,從請求和返回兩個方面結合判斷攻擊行為。DCN WAF不僅能防護SQL注入、XSS跨站腳本等攻擊行為,還能防護漏洞掃描、cookie會話安全、木馬上傳等全系列攻擊行為,橫跨黑客攻擊的各個階段。防護引擎的細粒度防護體現在:DCN WAF基于模式工作,協議還原最徹底。DCN WAF的協議檢查內容涵蓋HTTP協議頭、cookie內容和上傳下載的內容,檢查點最多。
及時權威的攻擊特征庫
DCN WAF的防護功能依托神州數碼網絡對國內政府、教育、行業客戶網站和應用系統的深入了解。DCN作為國內知名的信息化建設提供商,建設了多個行業的多個應用系統平臺,對DCN WAF的保護對象系統理解深刻。神州數碼網絡在全國各地建有多個技術支持平臺,上百位技術專家在DCN WAF的目標客戶遇到問題時及時去現場解決。因此,DCN WAF能得到目標市場最多最快的問題反饋,能更有針對性地制作攻擊特征庫。
DCN WAF的防護功能依托DCN應用防御中心的強大支持。DCN和中科院信息安全國家重點實驗室合作,依托中科院信息安全國家重點實驗室的科研實力共建DCN應用防御中心。DCN應用防御中心監控和分析國內政府、教育等行業客戶的網站和應用系統出現的漏洞和攻擊情況,及時形成DCN WAF的檢測特征庫。通過特征庫的不斷升級和更新,DCN WAF能夠有效檢測和防御各種最新的攻擊。
強大靈活的策略模板
DCN WAF具備強大靈活的策略模板機制,在保護多個網站、多個服務器的情況下,能為每個網站和服務器的自身特點自定義不同的防護策略。DCN WAF的策略配置都使用包括URL、IP地址、時間、關鍵字等元素在內的預定義對象以及對象組完成,通過組的概念可以簡化網絡管理員的配置工作,提高產品的可用性。
安全可靠的產品系統
DCN WAF采用專用DCNOS實時并行操作系統,其并行的處理能力和模塊化的結構易于集成和擴展安全功能,并針對多核并行處理進行了全面的優化和安全加固,極大地提高了系統的處理效率、系統穩定性和安全性。模塊化和并行多任務的處理機制,為神州數碼新一代的網絡安全系統提供了極大的可擴展能力,包括支持更多核處理器和集成更多安全功能。積累多年被證實的專業硬件安全產品研發和市場經驗,DCN WAF在軟硬件的穩定性和可靠性上都有了進一步提高。全面優化的軟硬件系統擁有高穩定性和高可靠性,為網絡流量和網絡攻擊日益膨脹的企業IT 環境提供了強大的保障。DCN WAF支持雙機熱備和bypass功能,不會成為網絡上的故障點,能夠在最大程度上確保企業關鍵業務的不間斷運行。
產品部署
透明模式
DCN WAF支持透明模式部署。透明模式部署的好處是不改變用戶網絡拓撲,即插即用,配置簡單快速。透明模式支持bypass模式,當DCN WAF設備發生故障時立刻轉為直通模式,不會影響網絡的正常運行,不會成為網絡故障點。
反向模式
DCN WAF支持反向模式部署。在反向模式下,DCN WAF支持應用層負載均衡功能。所有客戶端對網站服務器群的訪問均由DCN WAF智能分配。當用戶業務訪問增長,需要擴充服務器數量時,不需要對網站拓撲再做改動,只需要在DCN WAF后面增加一臺服務器即可,對客戶端完全透明,極大增加了用戶網絡的可擴展性。
旁路模式
DCN WAF支持旁路模式部署。旁路模式部署方式為只有一個接口接入交換機,部署簡單。旁路模式分為兩個方案:一是單臂模式。單臂模式是反向模式的一種,DCN WAF按反向模式配置,網絡數據通過IP尋址傳送到DCN WAF上。數據的流入和流出都從DCN WAF接入交換機的一根線上傳輸。單臂模式功能和反向模式功能一樣。二是監聽模式。監聽模式接在交換機的鏡像端口,旁路捕捉和分析鏡像端口的數據流信息,分析數據流中的攻擊信息并記錄和報警。監聽模式下能實現攻擊的識別和報警功能,不能實現攻擊的防護功能。
雙機熱備模式
DCN WAF支持雙機熱備部署模式。兩臺設備分別工作在主設備和從設備模式,通過心跳線監視對方的工作情況。當發生異常時,自動切換到另外一臺設備,確保網絡的正常工作。
