【转】接上篇——

安全设备篇(7)——抗DDOS产品

DDOS攻击随着互联网的快速发展,日益猖獗,从早期的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个很大的利益链。DDOS攻击由于容易实施、难以防范、难以追踪,成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。

DOS&DDOS

ddos防护网(网络安全设备2DDOS)(1)

DOS是英文“denial-of-service attack”的缩写,中文意思是“拒绝服务攻击”,亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。

ddos防护网(网络安全设备2DDOS)(2)

DDOS是英文“distributed denial-of-service attack”的缩写,中文意思是“分布式拒绝服务攻击”,与DOS的区别在于,当黑客发动攻击时,会使用网络上两个或两个以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。

DDoS攻击现象

1.被攻击主机上有大量等待的TCP连接。

2.网络中充斥着大量的无用的数据包,源地址为假。

3.制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。

4.利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。

5.严重时会造成系统死机。

DDOS攻击方式

DDOS攻击有两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求,占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。

带宽消耗型攻击

DDOS带宽消耗攻击分为两个不同的层次:洪泛攻击或放大攻击。

洪泛攻击:利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击:通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。

资源消耗型攻击

通过攻击,将被攻击机器的系统内存和处理器资源耗尽。

DDOS的类型及常见攻击方式

DDOS攻击主要分为三类:流量型攻击;连接型攻击;特殊协议缺陷。有以下常见攻击:

ddos防护网(网络安全设备2DDOS)(3)

  • IP Flood
  • Syn Flood
  • Udp 反射 Flood
  • Dns Query Flood
  • Dns Reply Flood
  • Http Flood
  • Https Flood
  • Sip Invite Flood
  • Sip Register Flood
  • Ntp Request Flood
  • Ntp Reply Flood
  • Connection Flood
  • CC攻击
  • http slow header慢速攻击
  • http slow post慢速攻击
  • Https-ssl-dos攻击
  • Dns NX攻击
  • Dns 投毒
  • ICMP Flood
  • 死亡之Ping
  • 泪滴攻击
  • UDP洪水攻击(User Datagram Protocol floods)

后续会有文章详细介绍各类攻击哦,欢迎关注。

抗DDOS产品防御方式

ddos防护网(网络安全设备2DDOS)(4)

拒绝服务攻击的防御方式通常为扩大带宽、入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。

大多数防火墙,IPS产品都附带了抗DDOS攻击的功能,但是,由于它们本身对数据的处理机制,造成不能够准确的检测出DDOS攻击数据包和正常数据包,因此,它们对DDOS攻击的处理方式和专业的抗DDOS攻击设备还是有很大不同的。实际网络中最常使用的就是抗DDOS防火墙。

安全设备篇(8)——流量监控

网络流量监控在网络管理、入侵监测、协议分析、流量工程等领域有着广泛应用,网络流量监控是网络流量特征归纳、网络行为分析的重要基础,是网络安全最重要的组成部分。

流量监控重要性

ddos防护网(网络安全设备2DDOS)(5)

内网各个主机之间的通讯,都是通过数据包来完成的,在数据包中标识了通讯内容、通讯协议、发送源地址以及发送目的地址信息,可以通过分析这些数据,了解当前网络的运行情况,在第一时间排查故障。一些常见的病毒入侵、网络性能问题、网络异常行为都可以通过分析数据包来发现故障源头。

流量监控常用技术

ddos防护网(网络安全设备2DDOS)(6)

基于主机内嵌软件监测

基于主机内嵌软件的流量监测,在主机内安装流量监测软件以完成流量监测任务。通过软件套接字嵌入软件截获往返通信内容。该方式能够截获全部通信报文,可以进行各种协议层的分析,但不能看到全网范围的流量情况。

基于流量镜像协议分析

流量镜像(在线TAP)协议把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行检测。协议分析是网络监测最基本的手段,特别适合网络故障分析,但是只针对单条链路,不适合全网监测。

基于硬件探针监测

硬件探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕获流量的链路中,通过分流链路上的数字信号获取流量信息。一个硬件探针监测一个子网的流量信息(通常是一条链路)。对于全网的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。该方式,能够提供丰富的从物理层到应用层的详细信息。但受限于探针的接口速率,一般只针对1000M以下的速率,着重单条链路的流量分析。

基于SNMP协议的流量监测

基于SNMP协议的流量监测,通过网络设备MIB收集一些具体设备及流量信息有关的变量。包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出包数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等,类似方式还包括RMON。该方式,使用软件方法实现,不需要对网络进行改造或增加部件、配置简单、费用低。但是只包括字节数、报文数等最基本的内容,不适用于复杂的流量监测。

基于Netflow的流量监测

基于Netflow的流量监测,提供的流量信息扩大到了基于五元组(源IP地址、目的IP地址、源端口、目的端口、协议号)的字节数和报文数统计,可以区分各个逻辑通道上的流。该监测方法,通常需要在网络设备上附加单独的功能模块实现。

基于镜像端口的流量监测

端口镜像(Port Mirroring)能够把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口。当没有设置镜像端口针对本地网卡进行监控时,所能捕获的仅仅是本机流量以及网络中的广播数据包、组播数据包,而其他主机的通讯数据包是无法获取的。对于交互式网络来说,可以在交换机或路由器上设置镜像端口,指定交换机多个或所有端口镜像到一个端口,这样通过连接该端口并监控,就可以捕获多个端口的总流量数据。该方式能够很容易获取全网的流量数据,但对于分析系统的接收性能以及网络带宽要求较高。

流量监控的意义

ddos防护网(网络安全设备2DDOS)(7)

流量监控有利于及时了解整个网络的运行态势、网络负载情况、网络安全状况、流量发展趋势、用户行为模式、业务与站点的接受程度,为网络的运行和维护提供重要依据,有利于管理人员进行网络性能分析、异常检测、链路状态监测、容量规划等工作。

流量监控为流量分析提供了基础数据(流量分析主要从带宽、网络协议、基于网段的业务、网络异常流量、应用服务异常等五个方面进行流量分析)。在一个复杂的网络环境中,必须保证重要应用的带宽需求,通过基于带宽的网络流量分析,能够及时明确带宽使用情况,带宽不足时,可以尽快解决。针对不同网络协议进行流量监控和分析,如果某一协议在一个时间段内出现超常暴涨,就有可能是攻击流量或蠕虫病毒出现。大多数组织,将不同业务系统通过VLAN进行逻辑隔离,流量系统可以针对不同的VLAN进行网络流量监控,以监控业务系统是否异常。

安全设备篇(9)——安全审计产品

什么叫安全审计

ddos防护网(网络安全设备2DDOS)(8)

网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程,它是提高系统安全性的重要手段。

系统活动:包括操作系统活动和应用程序进程的活动。

用户活动:包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。

安全审计分类

网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。

ddos防护网(网络安全设备2DDOS)(9)

系统级审计

系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。

ddos防护网(网络安全设备2DDOS)(10)

应用级审计

应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、删除记录或字段等特定操作,以及打印报告等。

用户级审计

用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等信息。

ddos防护网(网络安全设备2DDOS)(11)

常见安全审计产品

根据系统审计对象和审计内容的不同,常见的审计产品包括:网络安全审计、数据库安全审计、日志审计、运维安全审计等。

ddos防护网(网络安全设备2DDOS)(12)

网络安全审计设备

1.网络安全审计设备主要审计网络方面的相关内容。针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。

2.满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

3.通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

ddos防护网(网络安全设备2DDOS)(13)

数据库安全系统

1.数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

2.审计对数据库的各类操作,精确到每一条SQL命令,并有强大的报表功能。

3.通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

ddos防护网(网络安全设备2DDOS)(14)

日志审计设备

1.日志审计产品集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

2.日志审计产品通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。

3.通常旁路模式部署。通常由设备发送日志到审计设备,或在服务器中安装代理,由代理发送日志到审计设备。

ddos防护网(网络安全设备2DDOS)(15)

运维安全审计系统(堡垒机)

1.在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

2.运维安全设计系统主要是针对运维人员维护过程的全面跟踪、控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

3.通常采用旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。

ddos防护网(网络安全设备2DDOS)(16)

很明显,安全审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。

安全审计作用

ddos防护网(网络安全设备2DDOS)(17)

安全审计对系统记录和行为进行独立的审查和估计,主要作用如下:

1.对可能存在的潜在攻击者起到威慑和警示作用,核心是风险评估。

2.测试系统的控制情况,及时进行调整,保证与安全策略和操作规程协调一致。

3.对已出现的破坏事件,做出评估并提供有效的灾难恢复和追究责任的依据。

4.对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。

5.协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。

安全设备篇(10)——上网行为管理

员工随意使用网络将导致很多问题,例如:工作效率低下、网速越来越慢、安全隐患不断、信息和机密外泄、网络违法行为。

ddos防护网(网络安全设备2DDOS)(18)

什么是上网行为管理

ddos防护网(网络安全设备2DDOS)(19)

上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

亟待解决的五大难题

ddos防护网(网络安全设备2DDOS)(20)

01

缺乏有效统计方法,不了解网络的使用情况

对于网络的使用情况、有限的公网出口带宽的占用情况、用户最常发生的网络访问行为、TOP10用户最常访问的网站等,IT管理者无法掌握真实情况,只能靠部分员工的反映和抱怨,通过简单记录一些IP的访问情况,查询和审计非常不方便。

02

无法做到细致的访问控制

因为需要获取外部信息和资源,公司需要与Internet实现互联,通过Email等软件系统,内网员工不仅可以与合作伙伴、第三方单位保持沟通,而且外网用户也可以通过Internet访问公司内部的网站、FTP下载服务器等。

但是如果没有完善的互联网访问权限控制手段,而仅仅依靠传统的防火墙等设备,将无法有效管控内网员工的各种网络访问行为。内网员工在上班时间使用QQ、MSN、微信等聊天,浏览各种网站(甚至黄色、反动网站),BBS、论坛发帖(包括不负责任的反动言论等),在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄露机构机密信息,给机构带来直接经济损失,还可能引起不必要的法律纠纷。

03

无法有效管理带宽流量,业务系统带宽需求

公司现有的公网出口带宽通常都比较有限。一个带宽2M的Internet出口,即使有两个内网用户全速下载BT、网盘等,其他用户和业务系统的访问和开展都会极其缓慢,甚至完全不可用。而IT管理者一方面无法有效的获知公司现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。

业务系统收发Email缓慢,领导的视频会议系统无法正常工作,合作伙伴的文件传输速度缓慢等,都需要IT管理者优化公司有限带宽的使用情况,有效的限制业务系统对带宽的占用,合理的划分和分配更多的带宽供业务系统所使用。

04

无法保证客户端的端点安全性

类似于木桶原理,内网网络安全的等级取决于安全最薄弱的环节。如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新,反而使用和安装公司不允许的软件,都将造成该终端设备成为内网的安全短板。如果用户使用该终端设备肆意访问互联网,来自Internet的病毒、木马、恶意程序等极易感染和侵害该终端,从而进一步感染和泛滥到整个内网,影响更多用户的网络使用和业务的开展。

05

无法对用户网络行为进行有效监控和审计

对于网络安全问题,大多数用户都只关注外网安全,但其实公司内部的信息资产更多的不是被黑客窃取,而是通过内部泄露的。虽然公司已经部署了防火墙等安全设备,但是无法对内网员工的网络行为进行有效的监控和审计。

内网员工可能通过微信聊天将公司的机密信息无意间泄露出去,而更典型的是通过Email邮件,将公司的信息通过邮件及附件发送到公网,还可能通过向公网BBS、论坛、头条发帖的方式,不仅泄露公司的信息,还可能发表不良言论、网络造谣等,不仅泄露公司的信息资产,还难免招致法律问题。这些都需要有别于传统防火墙的解决方案,对用户的网络访问行为进行有效的监控和审计,做到有据可查。

上网行为管理的作用

ddos防护网(网络安全设备2DDOS)(21)

1

有效管理用户上网

通过细致的权限控制,有效管理用户的上网行为。如:对于内网员工的访问行为,上网行为管理系统通过内置的URL库,关键字过滤等方式进行管控;对于采用ssl方式加密的网页,如钓鱼网站等,通过证书验证链接,并使用黑白名单进行管控;对于文件的上传和下载,通常会限制类型和大小;对于邮件地址的后缀进行管控;将用户的IP和MAC进行绑定等。

2

有效管理带宽和流量网

通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。

3

防止机密信息泄露和法律违规事件

上网行为管理系统通过访问审计和监控,能够有效防止信息通过Internet泄露,并建立强大的内部安全威慑,减少内部泄密行为。例如:通过邮件延迟审计,保证先审计再发送;对于webmail站点发送的邮件,全面记录邮件正文及附件;对于BBS、论坛发帖根据关键字进行过滤,已发布的内容全面记录;内网员工访问的url地址、网页标题、甚至整个网页内容,进行完全的监控和记录。

安全设备篇(11)——下一代防火墙

什么是下一代防火墙

下一代防火墙,即Next Generation Firewall,简称NG Firewall或NGFW。NGFW可以全面应对应用层威胁,通过深入分析网络流量中的用户、应用和内容,借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

ddos防护网(网络安全设备2DDOS)(22)

NGFW与传统FW的区别

ddos防护网(网络安全设备2DDOS)(23)

1

应用程序感知

NGFW与传统防火墙最大的不同是:下一代防火墙可以感知应用程序。传统防火墙依赖常见的应用程序端口,决定正在运行的应用程序以及攻击类型。而NGFW并不认为特定的程序必须运行在特定的端口上,防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收信息。

2

身份感知

NGFW与传统防火墙之间的另一个很大不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统,如活动目录、轻量目录访问协议等。信息安全人员通过这种方法,不仅能够控制允许进出网络的通信类型,还可以控制特定用户可以发送和接收的数据。

3

状态检测

虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不仅能跟踪第二层到第四层的通信状态,而且能跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。

4

集成IPS

入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。

在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或者通过一个设备内部在逻辑上独立的设备来部署的。但是在NGFW中,入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能,与其在独立部署时并无不同,NGFW中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。

5

桥接和路由模式

桥接或路由模式虽不是全新的特征,但NGFW的这种功能仍然很重要。在当今的网络中,通常部署很多的防火墙,但其中多数并未NGFW。为了更容易地过渡到NGFW,NGFW必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分,对任何一家特定的企业来说,在合适的时间,NGFW应逐渐替换传统防火墙,从而使用路由模式。

安全设备篇(12)——UTM

什么是UTM?

ddos防护网(网络安全设备2DDOS)(24)

UTM是英文"Unified Threat Management"的缩写,中文意思是"统一威胁管理",业界常称之为安全网关。

统一威胁顾名思义,就是在单个硬件或软件上,提供多种安全功能。与以往传统的安全设备不同,传统的安全设备一般只解决一种问题。

UTM常被定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。

常见功能

ddos防护网(网络安全设备2DDOS)(25)

UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。各厂商会在UTM产品中增加应用层防火墙和控制器、深度包检测、Web代理和内容过滤、数据丢失预防、安全信息和事件管理、虚拟专用网络、网络沼泽等功能,以迎合不同用户需求,保持市场优势。

虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。

优点

ddos防护网(网络安全设备2DDOS)(26)

  • 降低成本

UTM将多个安全设备的功能集于一身,大大降低了硬件成本、人员成本、时间成本。

  • 降低工作强度

UTM提供了以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,大大降低了安装、配置、运维的工作强度。

  • 降低技术复杂度

UTM提供了一体化管理方式,降低了掌握和管理各种安全功能的难度以及用户误操作的可能,使安全管理人员可以通过单一设备集中进行安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。

缺点

ddos防护网(网络安全设备2DDOS)(27)

  • 抗风险能力降低

虽然UTM提供了通过单一设备管理,实现多种安全功能的能力,同时也引入了一个不可避免的问题——单点故障,一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。

  • 内部防御薄弱

由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。然而,造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备,目前尚不是解决安全问题的灵丹妙药。

  • 单一防御功能较弱

UTM本质上是将防病毒、入侵检测和防火墙等N个网络安全产品功能集中于一个设备中,必然导致每一个安全功能只能获得N分之一的处理能力和N分之一的内存,因此每一个功能都较弱。

  • 性能和稳定性

尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下,实现更高的性能输出,对系统稳定性造成的影响不可避免。目前,UTM安全设备的稳定程度与传统安全设备相比,仍需不断提高,且任重道远。

,