【51CTO.com 原創(chuàng)】上次說(shuō)到美劇，其實(shí)廉哥也是給追劇迷，那晚閑來(lái)無(wú)事，我一口氣擼完了美劇《黑客軍團(tuán)》第一季。當(dāng)看到屏幕上的命令行時(shí)，居然有一種莫名其妙的激動(dòng)和共鳴。特別是第一集基本上沒(méi)什么尿點(diǎn)，給我印象最深的是有一幕，網(wǎng)站系統(tǒng)癱瘓了，男豬腳和同仁發(fā)現(xiàn)是由DDOS導(dǎo)致的故障，然后發(fā)現(xiàn)服務(wù)器里的rootkit四處散播形成僵尸網(wǎng)絡(luò)，緊接著集群基本都關(guān)閉，最后男主出馬，他通過(guò)改個(gè)域名服務(wù)器就改變了最后一臺(tái)感染的重啟。劇情刺激且抓人，場(chǎng)面扣人心弦。雖然次日反思細(xì)節(jié)，感覺(jué)理論上說(shuō)：每個(gè)域名都有TTL，修改后是不可能馬上生效的。但這對(duì)于神劇的所帶來(lái)的“小確幸”來(lái)說(shuō)并不重要。

[[170083]]

安全套件設(shè)計(jì)

通過(guò)閱讀這次的開(kāi)頭想必大家已然明白我這次要給大家?guī)?lái)什么了吧?對(duì)，網(wǎng)絡(luò)安全。談到網(wǎng)絡(luò)安全所涉及到的產(chǎn)品，大家一定想到了常見(jiàn)的硬件產(chǎn)品如：防火墻(firewall)，VPN網(wǎng)關(guān)、入侵檢測(cè)(IDS)、入侵防御(IPS)和統(tǒng)一威脅管理(UTM)以及下一代防火墻(NGFW)等。這些設(shè)備的基本概念和用途，小生就不在這里贅述了，需要了解的，可以出門(mén)左拐找隔壁的“度娘”。這些設(shè)備誰(shuí)將取代誰(shuí)的存廢之爭(zhēng)已討論多年，我在這里不做評(píng)判，只想跟大家漫談的是個(gè)人在所經(jīng)歷的項(xiàng)目中的一些實(shí)施經(jīng)驗(yàn)和感受。

1. 傳統(tǒng)的將安全設(shè)備串糖葫蘆式的部署到網(wǎng)絡(luò)中是萬(wàn)萬(wàn)不可的。這樣只會(huì)造成效率較低、可視性差、管理困難。傳統(tǒng)的設(shè)備如防病毒、入侵檢測(cè)與防御技術(shù)都是基于模式匹配、黑名單技術(shù)來(lái)對(duì)已知攻擊進(jìn)行防御技術(shù)。而如今已是云計(jì)算、大數(shù)據(jù)時(shí)代，設(shè)計(jì)與運(yùn)維人員應(yīng)當(dāng)多都通多協(xié)作，合理化部署，在沒(méi)有任何特征庫(kù)的情況下通過(guò)海量數(shù)據(jù)來(lái)發(fā)現(xiàn)無(wú)規(guī)律的異常的黑客行為以及發(fā)現(xiàn)新的攻擊或行為，因此聯(lián)動(dòng)與互補(bǔ)顯得尤為重要。

2. 對(duì)于絕大多數(shù)已有部分安全硬件設(shè)備的企業(yè)，無(wú)論是從信息化建設(shè)發(fā)展投資保護(hù)還是從人員維護(hù)熟練程度來(lái)說(shuō)，都沒(méi)有必要一下子推倒從來(lái)，一步跨到最新的設(shè)備套件(UTM)上。

3. 對(duì)于要逐年或定期面對(duì)內(nèi)審和、或外審的企業(yè)來(lái)說(shuō)，IDS是絕好不過(guò)的了。你可以從其“呈現(xiàn)”界面，方便、快捷、豐富的獲取各種表和圖，真是誰(shuí)用誰(shuí)知道。

4. UTM雖然“看上去很美”但是要注意UTM模塊見(jiàn)是否割裂、有無(wú)聯(lián)動(dòng)，不然簡(jiǎn)單的UTM模塊堆疊會(huì)導(dǎo)致應(yīng)用層性能下降，適得其反。

5. 正所謂道高一尺魔高一丈，隨著黑客攻擊水平的不斷進(jìn)步，如今多為利用應(yīng)用安全漏洞進(jìn)行攻擊，因此，下一代防火墻(NGFW)、IPS基礎(chǔ)上的抗拒絕服務(wù)攻擊系統(tǒng)(Anti-DOS)、Web應(yīng)用防火墻(WAF)等元素應(yīng)在網(wǎng)絡(luò)設(shè)計(jì)和部署時(shí)適當(dāng)考慮，以應(yīng)對(duì)日漸多樣、復(fù)雜、易變的應(yīng)用程序。

6. 常言道“師傅領(lǐng)進(jìn)門(mén)，修行在個(gè)人。”設(shè)備縱然再先進(jìn)放在那里，鮮少維護(hù)是(sang)不(xin)行(bing)的(kuang)。我們需要真正做到管理，更新和使用好各種現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備，按照現(xiàn)有的日常操作流程進(jìn)行運(yùn)維，如果能建立或是部分實(shí)現(xiàn)企業(yè)內(nèi)信息安全管理體系(Information Security Management System, ISMS乃是極好的。

讓我們?cè)侔涯抗饣氐角懊嫖医o出的整體方案上：

兩條線(xiàn)路接入后，考慮到這是IT系統(tǒng)與外界互聯(lián)網(wǎng)的喉舌要害，本人在此就簡(jiǎn)單的設(shè)計(jì)部署了一套安全套件。之所以命名為安全套件，是因?yàn)殡S著軟硬件技術(shù)的發(fā)展，在安全接入網(wǎng)關(guān)方面，各大廠(chǎng)商的各種設(shè)備在深入開(kāi)發(fā)其本類(lèi)特性的同時(shí)也不斷加權(quán)相近領(lǐng)域的安全概念。這便使得各類(lèi)安全產(chǎn)品的單質(zhì)性逐漸淡化，多用途的現(xiàn)象普遍體現(xiàn)。因此，本人覺(jué)得在設(shè)計(jì)和選型方面不必拘泥，完全可以根據(jù)本企業(yè)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)、資金預(yù)算等方面的實(shí)際情況出發(fā)，保證在功能上基本實(shí)現(xiàn)防火墻，IPS(入侵防護(hù)系統(tǒng))特別是有Anti-DDOS(抗分布式拒絕服務(wù))特性, IDS(入侵檢測(cè)系統(tǒng))，漏洞掃描，甚至可以有UTM(統(tǒng)一威脅管理)之類(lèi)集大成設(shè)備的部署。

特別要強(qiáng)調(diào)的是這幾年來(lái)，見(jiàn)諸媒體的各大知名企業(yè)網(wǎng)站遭遇DDOS攻擊事件顯示出攻擊者從網(wǎng)絡(luò)層、傳輸層及應(yīng)用層入手，進(jìn)行如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood等拒絕服務(wù)攻擊。因此為了防止本所內(nèi)部網(wǎng)絡(luò)以及對(duì)外服務(wù)網(wǎng)站因?yàn)檫B接耗盡而癱瘓，本人覺(jué)得應(yīng)當(dāng)將“抗DDOS”作為了安全套件的一項(xiàng)重要考量指標(biāo)。

本期最后跟大家說(shuō)一個(gè)廉哥我切身經(jīng)歷過(guò)的安全事件吧。若干年前，我曾在一家信息安全公司給南方一個(gè)政府做信息安全的示范項(xiàng)目。結(jié)果某一天客戶(hù)辦公室的每臺(tái)電腦都彈出一句“It’s a test. I came, I saw, I conquered!”的小黑窗口。客戶(hù)領(lǐng)導(dǎo)大呼這是什么鬼?城里人太會(huì)玩了!后來(lái)查明是網(wǎng)絡(luò)攻擊安全部門(mén)的新來(lái)實(shí)習(xí)生在利用腳本模擬風(fēng)暴攻擊時(shí)擅用誤接入到了正常辦公內(nèi)網(wǎng)絡(luò)所致。哎，可惜了，這位騷年程序猿，明明可以靠測(cè)試吃飯，卻偏要靠憑這樣的“才華”出名，公司的霸道總裁只能送他兩個(gè)字“走你!”所以說(shuō)咱們搞信息安全的人，一不小心把自己給整進(jìn)去了，這樣真的好嗎?

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)注明作者及出處?！?/p>