【轉】接上篇——

安全設備篇（7）——抗DDOS産品

DDOS攻擊随着互聯網的快速發展，日益猖獗，從早期的幾兆、幾十兆，到現在的幾十G、幾十T的流量攻擊，形成了一個很大的利益鍊。DDOS攻擊由于容易實施、難以防範、難以追蹤，成為最難解決的網絡安全問題之一，給網絡社會帶來了極大的危害。同時，拒絕服務攻擊也将是未來信息戰的重要手段之一。

DOS&DDOS

DOS是英文“denial-of-service attack”的縮寫，中文意思是“拒絕服務攻擊”，亦稱洪水攻擊，是一種網絡攻擊手法，其目的在于使目标電腦的網絡或系統資源耗盡，使服務暫時中斷或停止，導緻其正常用戶無法訪問。

DDOS是英文“distributed denial-of-service attack”的縮寫，中文意思是“分布式拒絕服務攻擊”，與DOS的區别在于，當黑客發動攻擊時，會使用網絡上兩個或兩個以上被攻陷的電腦作為“僵屍”向特定的目标發動“拒絕服務”式攻擊。

DDoS攻擊現象

1.被攻擊主機上有大量等待的TCP連接。

2.網絡中充斥着大量的無用的數據包，源地址為假。

3.制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊。

4.利用受害主機提供的服務或傳輸協議上的缺陷，反複高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求。

5.嚴重時會造成系統死機。

DDOS攻擊方式

DDOS攻擊有兩種形式：帶寬消耗型以及資源消耗型。它們都是透過大量合法或僞造的請求，占用大量網絡以及器材資源，以達到癱瘓網絡以及系統的目的。

帶寬消耗型攻擊

DDOS帶寬消耗攻擊分為兩個不同的層次：洪泛攻擊或放大攻擊。

洪泛攻擊：利用僵屍程序發送大量流量至受損的受害者系統，目的在于堵塞其帶寬。放大攻擊：通過惡意放大流量限制受害者系統的帶寬；其特點是利用僵屍程序通過僞造的源IP(即攻擊目标IP)向某些存在漏洞的服務器發送請求，服務器在處理請求後向僞造的源IP發送應答，由于這些服務的特殊性導緻應答包比請求包更長，因此使用少量的帶寬就能使服務器發送大量的應答到目标主機上。

資源消耗型攻擊

通過攻擊，将被攻擊機器的系統内存和處理器資源耗盡。

DDOS的類型及常見攻擊方式

DDOS攻擊主要分為三類：流量型攻擊；連接型攻擊；特殊協議缺陷。有以下常見攻擊：

• IP Flood
• Syn Flood
• Udp 反射 Flood
• Dns Query Flood
• Dns Reply Flood
• Http Flood
• Https Flood
• Sip Invite Flood
• Sip Register Flood
• Ntp Request Flood
• Ntp Reply Flood
• Connection Flood
• CC攻擊
• http slow header慢速攻擊
• http slow post慢速攻擊
• Https-ssl-dos攻擊
• Dns NX攻擊
• Dns 投毒
• ICMP Flood
• 死亡之Ping
• 淚滴攻擊
• UDP洪水攻擊（User Datagram Protocol floods）

後續會有文章詳細介紹各類攻擊哦，歡迎關注。

抗DDOS産品防禦方式

拒絕服務攻擊的防禦方式通常為擴大帶寬、入侵檢測，流量過濾和多重驗證，旨在堵塞網絡帶寬的流量将被過濾，而正常的流量可正常通過。

大多數防火牆，IPS産品都附帶了抗DDOS攻擊的功能，但是，由于它們本身對數據的處理機制，造成不能夠準确的檢測出DDOS攻擊數據包和正常數據包，因此，它們對DDOS攻擊的處理方式和專業的抗DDOS攻擊設備還是有很大不同的。實際網絡中最常使用的就是抗DDOS防火牆。

安全設備篇（8）——流量監控

網絡流量監控在網絡管理、入侵監測、協議分析、流量工程等領域有着廣泛應用，網絡流量監控是網絡流量特征歸納、網絡行為分析的重要基礎，是網絡安全最重要的組成部分。

流量監控重要性

内網各個主機之間的通訊，都是通過數據包來完成的，在數據包中标識了通訊内容、通訊協議、發送源地址以及發送目的地址信息，可以通過分析這些數據，了解當前網絡的運行情況，在第一時間排查故障。一些常見的病毒入侵、網絡性能問題、網絡異常行為都可以通過分析數據包來發現故障源頭。

流量監控常用技術

基于主機内嵌軟件監測

基于主機内嵌軟件的流量監測，在主機内安裝流量監測軟件以完成流量監測任務。通過軟件套接字嵌入軟件截獲往返通信内容。該方式能夠截獲全部通信報文，可以進行各種協議層的分析，但不能看到全網範圍的流量情況。

基于流量鏡像協議分析

流量鏡像（在線TAP）協議把網絡設備的某個端口（鍊路）流量鏡像給協議分析儀，通過7層協議解碼對網絡流量進行檢測。協議分析是網絡監測最基本的手段，特别适合網絡故障分析，但是隻針對單條鍊路，不适合全網監測。

基于硬件探針監測

硬件探針是一種用來獲取網絡流量的硬件設備，使用時将它串接在需要捕獲流量的鍊路中，通過分流鍊路上的數字信号獲取流量信息。一個硬件探針監測一個子網的流量信息（通常是一條鍊路）。對于全網的監測需要采用分布式方案，在每條鍊路部署一個探針，再通過後台服務器和數據庫，收集所有探針的數據，做全網的流量分析和長期報告。該方式，能夠提供豐富的從物理層到應用層的詳細信息。但受限于探針的接口速率，一般隻針對1000M以下的速率，着重單條鍊路的流量分析。

基于SNMP協議的流量監測

基于SNMP協議的流量監測，通過網絡設備MIB收集一些具體設備及流量信息有關的變量。包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丢棄數、輸入包錯誤數、輸入未知協議包數、輸出包數、輸出非廣播包數、輸出廣播包數、輸出包丢棄數、輸出包錯誤數、輸出隊長等，類似方式還包括RMON。該方式，使用軟件方法實現，不需要對網絡進行改造或增加部件、配置簡單、費用低。但是隻包括字節數、報文數等最基本的内容，不适用于複雜的流量監測。

基于Netflow的流量監測

基于Netflow的流量監測，提供的流量信息擴大到了基于五元組（源IP地址、目的IP地址、源端口、目的端口、協議号）的字節數和報文數統計，可以區分各個邏輯通道上的流。該監測方法，通常需要在網絡設備上附加單獨的功能模塊實現。

基于鏡像端口的流量監測

端口鏡像（Port Mirroring）能夠把交換機一個或多個端口（VLAN）的數據鏡像到一個或多個端口。當沒有設置鏡像端口針對本地網卡進行監控時，所能捕獲的僅僅是本機流量以及網絡中的廣播數據包、組播數據包，而其他主機的通訊數據包是無法獲取的。對于交互式網絡來說，可以在交換機或路由器上設置鏡像端口，指定交換機多個或所有端口鏡像到一個端口，這樣通過連接該端口并監控，就可以捕獲多個端口的總流量數據。該方式能夠很容易獲取全網的流量數據，但對于分析系統的接收性能以及網絡帶寬要求較高。

流量監控的意義

流量監控有利于及時了解整個網絡的運行态勢、網絡負載情況、網絡安全狀況、流量發展趨勢、用戶行為模式、業務與站點的接受程度，為網絡的運行和維護提供重要依據，有利于管理人員進行網絡性能分析、異常檢測、鍊路狀态監測、容量規劃等工作。

流量監控為流量分析提供了基礎數據（流量分析主要從帶寬、網絡協議、基于網段的業務、網絡異常流量、應用服務異常等五個方面進行流量分析）。在一個複雜的網絡環境中，必須保證重要應用的帶寬需求，通過基于帶寬的網絡流量分析，能夠及時明确帶寬使用情況，帶寬不足時，可以盡快解決。針對不同網絡協議進行流量監控和分析，如果某一協議在一個時間段内出現超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現。大多數組織，将不同業務系統通過VLAN進行邏輯隔離，流量系統可以針對不同的VLAN進行網絡流量監控，以監控業務系統是否異常。

安全設備篇（9）——安全審計産品

什麼叫安全審計

網絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程，它是提高系統安全性的重要手段。

系統活動：包括操作系統活動和應用程序進程的活動。

用戶活動：包括用戶在操作系統和應用程序中的活動，如用戶所使用的資源、使用時間、執行的操作等。

安全審計分類

網絡安全審計從審計級别上可分為3種類型：系統級審計、應用級審計和用戶級審計。

系統級審計

系統級審計主要針對系統的登入情況、用戶識别号、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入後運行程序等事件信息進行審查。典型的系統級審計日志還包括部分與安全無關的信息，如系統操作、費用記賬和網絡性能。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節信息。

應用級審計

應用級審計主要針對的是應用程序的活動信息，如打開和關閉數據文件，讀取、編輯、删除記錄或字段等特定操作，以及打印報告等。

用戶級審計

用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒别和認證操作，用戶所訪問的文件和資源等信息。

常見安全審計産品

根據系統審計對象和審計内容的不同，常見的審計産品包括：網絡安全審計、數據庫安全審計、日志審計、運維安全審計等。

網絡安全審計設備

1.網絡安全審計設備主要審計網絡方面的相關内容。針對互聯網行為提供有效的行為審計、内容審計、行為報警、行為控制及相關審計功能。

2.滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防範。

3.通常采用旁路部署模式，通過在核心交換機上設置鏡像口，将鏡像數據發送到審計設備。

數據庫安全系統

1.數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為。

2.審計對數據庫的各類操作，精确到每一條SQL命令，并有強大的報表功能。

3.通常采用旁路部署模式，通過在核心交換機上設置鏡像口，将鏡像數據發送到審計設備。

日志審計設備

1.日志審計産品集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀态等各類信息，經過規範化、過濾、歸并和告警分析等處理後，以統一格式的日志形式進行集中存儲和管理，結合豐富的日志統計彙總及關聯分析功能，實現對信息系統日志的全面審計。

2.日志審計産品通過對網絡設備、安全設備、主機和應用系統日志進行全面的标準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，确保客戶業務的不間斷運營安全。

3.通常旁路模式部署。通常由設備發送日志到審計設備，或在服務器中安裝代理，由代理發送日志到審計設備。

運維安全審計系統（堡壘機）

1.在一個特定的網絡環境下，為了保障網絡和數據不受來自内部合法用戶的不合規操作帶來的系統損壞和數據洩露，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀态、安全事件、網絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

2.運維安全設計系統主要是針對運維人員維護過程的全面跟蹤、控制、記錄、回放，以幫助内控工作事前規劃預防、事中實時監控、違規行為響應、事後合規報告、事故追蹤回放。

3.通常采用旁路模式部署。使用防火牆對服務器訪問權限進行限制，隻能通過堡壘機對網絡設備/服務器/數據庫等系統操作。

很明顯，安全審計産品最終的目的都是審計，隻不過是審計的内容不同而已，根據不同需求選擇不同的審計産品，一旦出現攻擊、非法操作、違規操作、誤操作等行為，對事後處理提供有利證據。

安全審計作用

安全審計對系統記錄和行為進行獨立的審查和估計，主要作用如下：

1.對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。

2.測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一緻。

3.對已出現的破壞事件，做出評估并提供有效的災難恢複和追究責任的依據。

4.對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。

5.協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隐患。

安全設備篇（10）——上網行為管理

員工随意使用網絡将導緻很多問題，例如：工作效率低下、網速越來越慢、安全隐患不斷、信息和機密外洩、網絡違法行為。

什麼是上網行為管理

上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用。其包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析。

亟待解決的五大難題

01

缺乏有效統計方法，不了解網絡的使用情況

對于網絡的使用情況、有限的公網出口帶寬的占用情況、用戶最常發生的網絡訪問行為、TOP10用戶最常訪問的網站等，IT管理者無法掌握真實情況，隻能靠部分員工的反映和抱怨，通過簡單記錄一些IP的訪問情況，查詢和審計非常不方便。

02

無法做到細緻的訪問控制

因為需要獲取外部信息和資源，公司需要與Internet實現互聯，通過Email等軟件系統，内網員工不僅可以與合作夥伴、第三方單位保持溝通，而且外網用戶也可以通過Internet訪問公司内部的網站、FTP下載服務器等。

但是如果沒有完善的互聯網訪問權限控制手段，而僅僅依靠傳統的防火牆等設備，将無法有效管控内網員工的各種網絡訪問行為。内網員工在上班時間使用QQ、MSN、微信等聊天，浏覽各種網站（甚至黃色、反動網站），BBS、論壇發帖（包括不負責任的反動言論等），在線炒股、網絡遊戲娛樂等，不僅降低了工作效率，甚至通過Email洩露機構機密信息，給機構帶來直接經濟損失，還可能引起不必要的法律糾紛。

03

無法有效管理帶寬流量，業務系統帶寬需求

公司現有的公網出口帶寬通常都比較有限。一個帶寬2M的Internet出口，即使有兩個内網用戶全速下載BT、網盤等，其他用戶和業務系統的訪問和開展都會極其緩慢，甚至完全不可用。而IT管理者一方面無法有效的獲知公司現有帶寬資源的使用情況和利用率，同時對于各種P2P等非業務相關的網絡訪問行為也無法有效管控。

業務系統收發Email緩慢，領導的視頻會議系統無法正常工作，合作夥伴的文件傳輸速度緩慢等，都需要IT管理者優化公司有限帶寬的使用情況，有效的限制業務系統對帶寬的占用，合理的劃分和分配更多的帶寬供業務系統所使用。

04

無法保證客戶端的端點安全性

類似于木桶原理，内網網絡安全的等級取決于安全最薄弱的環節。如果有内網員工的終端設備使用陳舊的操作系統、不更新操作系統補丁、不安裝指定的殺毒/防火牆軟件、甚至不更新，反而使用和安裝公司不允許的軟件，都将造成該終端設備成為内網的安全短闆。如果用戶使用該終端設備肆意訪問互聯網，來自Internet的病毒、木馬、惡意程序等極易感染和侵害該終端，從而進一步感染和泛濫到整個内網，影響更多用戶的網絡使用和業務的開展。

05

無法對用戶網絡行為進行有效監控和審計

對于網絡安全問題，大多數用戶都隻關注外網安全，但其實公司内部的信息資産更多的不是被黑客竊取，而是通過内部洩露的。雖然公司已經部署了防火牆等安全設備，但是無法對内網員工的網絡行為進行有效的監控和審計。

内網員工可能通過微信聊天将公司的機密信息無意間洩露出去，而更典型的是通過Email郵件，将公司的信息通過郵件及附件發送到公網，還可能通過向公網BBS、論壇、頭條發帖的方式，不僅洩露公司的信息，還可能發表不良言論、網絡造謠等，不僅洩露公司的信息資産，還難免招緻法律問題。這些都需要有别于傳統防火牆的解決方案，對用戶的網絡訪問行為進行有效的監控和審計，做到有據可查。

上網行為管理的作用

1

有效管理用戶上網

通過細緻的權限控制，有效管理用戶的上網行為。如：對于内網員工的訪問行為，上網行為管理系統通過内置的URL庫，關鍵字過濾等方式進行管控；對于采用ssl方式加密的網頁，如釣魚網站等，通過證書驗證鍊接，并使用黑白名單進行管控；對于文件的上傳和下載，通常會限制類型和大小；對于郵件地址的後綴進行管控；将用戶的IP和MAC進行綁定等。

2

有效管理帶寬和流量網

通過上網行為管理産品，用戶可以制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優先級，合理利用有限的帶寬資源，節省投入成本。

3

防止機密信息洩露和法律違規事件

上網行為管理系統通過訪問審計和監控，能夠有效防止信息通過Internet洩露，并建立強大的内部安全威懾，減少内部洩密行為。例如：通過郵件延遲審計，保證先審計再發送；對于webmail站點發送的郵件，全面記錄郵件正文及附件；對于BBS、論壇發帖根據關鍵字進行過濾，已發布的内容全面記錄；内網員工訪問的url地址、網頁标題、甚至整個網頁内容，進行完全的監控和記錄。

安全設備篇（11）——下一代防火牆

什麼是下一代防火牆

下一代防火牆，即Next Generation Firewall，簡稱NG Firewall或NGFW。NGFW可以全面應對應用層威脅，通過深入分析網絡流量中的用戶、應用和内容，借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。

NGFW與傳統FW的區别

1

應用程序感知

NGFW與傳統防火牆最大的不同是：下一代防火牆可以感知應用程序。傳統防火牆依賴常見的應用程序端口，決定正在運行的應用程序以及攻擊類型。而NGFW并不認為特定的程序必須運行在特定的端口上，防火牆必須能夠在第二層到第七層上監視通信，并且決定發送和接收信息。

2

身份感知

NGFW與傳統防火牆之間的另一個很大不同點是，後者能夠跟蹤本地通信設備和用戶的身份，它一般使用的是現有的企業認證系統，如活動目錄、輕量目錄訪問協議等。信息安全人員通過這種方法，不僅能夠控制允許進出網絡的通信類型，還可以控制特定用戶可以發送和接收的數據。

3

狀态檢測

雖然從狀态檢測的一般定義上來看，下一代防火牆并無不同，但它不僅能跟蹤第二層到第四層的通信狀态，而且能跟蹤第二層到第七層的通信狀态。這種不同可以使安全人員實施更多控制，而且可以使管理員能夠制定更精細的策略。

4

集成IPS

入侵防禦系統（IPS）能夠根據幾種不同的技術來檢測攻擊，其中包括使用威脅特征、已知的漏洞利用攻擊、異常活動和通信行為的分析等。

在部署了傳統防火牆的環境中，入侵檢測系統或入侵防禦系統是經常部署的設備。通常，這種設備的部署是通過獨立的設備部署的，或者通過一個設備内部在邏輯上獨立的設備來部署的。但是在NGFW中，入侵防禦或入侵檢測設備應當完全地集成。入侵防禦系統本身的功能，與其在獨立部署時并無不同，NGFW中此功能的主要不同在于性能，以及通信的所有層如何實現對信息的訪問。

5

橋接和路由模式

橋接或路由模式雖不是全新的特征，但NGFW的這種功能仍然很重要。在當今的網絡中，通常部署很多的防火牆，但其中多數并未NGFW。為了更容易地過渡到NGFW，NGFW必須能夠以橋接模式（也稱為透明模式）連接，設備本身并不顯示為路由路徑的一部分，對任何一家特定的企業來說，在合适的時間，NGFW應逐漸替換傳統防火牆，從而使用路由模式。

安全設備篇（12）——UTM

什麼是UTM？

UTM是英文"Unified Threat Management"的縮寫，中文意思是"統一威脅管理"，業界常稱之為安全網關。

統一威脅顧名思義，就是在單個硬件或軟件上，提供多種安全功能。與以往傳統的安全設備不同，傳統的安全設備一般隻解決一種問題。

UTM常被定義為由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，同時将多種安全特性集成于一個硬件設備裡，形成标準的統一威脅管理平台。

常見功能

UTM設備應該具備的基本功能包括網絡防火牆、網絡入侵檢測/防禦和網關防病毒功能。各廠商會在UTM産品中增加應用層防火牆和控制器、深度包檢測、Web代理和内容過濾、數據丢失預防、安全信息和事件管理、虛拟專用網絡、網絡沼澤等功能，以迎合不同用戶需求，保持市場優勢。

雖然UTM集成了多種功能，但卻不一定要同時開啟。根據不同用戶的不同需求以及不同的網絡規模，UTM産品分為不同的級别。如果用戶需要同時開啟多項功能，則需要配置性能比較高、功能比較豐富的産品。

優點

• 降低成本

UTM将多個安全設備的功能集于一身，大大降低了硬件成本、人員成本、時間成本。

• 降低工作強度

UTM提供了以往多種産品的功能，并且隻要插接在網絡上就可以完成基本的安全防禦功能，大大降低了安裝、配置、運維的工作強度。

• 降低技術複雜度

UTM提供了一體化管理方式，降低了掌握和管理各種安全功能的難度以及用戶誤操作的可能，使安全管理人員可以通過單一設備集中進行安全防禦，而不需要擁有多個單一功能的設備，每個設備都需要人去熟悉、關注和支持。對于沒有專業信息安全人員及技術力量相對薄弱的組織來說，使用UTM産品可以提高這些組織應用信息安全設施的質量。

缺點

• 抗風險能力降低

雖然UTM提供了通過單一設備管理，實現多種安全功能的能力，同時也引入了一個不可避免的問題——單點故障，一旦該UTM設備出現問題，将導緻所有的安全防禦措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。

• 内部防禦薄弱

由于UTM的設計原則違背了深度防禦原則，雖然UTM在防禦外部威脅非常有效，但面對内部威脅就無法發揮作用了。然而，造成組織信息資産損失的威脅大部分來自于組織内部，所以以網關型防禦為主的UTM設備，目前尚不是解決安全問題的靈丹妙藥。

• 單一防禦功能較弱

UTM本質上是将防病毒、入侵檢測和防火牆等N個網絡安全産品功能集中于一個設備中，必然導緻每一個安全功能隻能獲得N分之一的處理能力和N分之一的内存，因此每一個功能都較弱。

• 性能和穩定性

盡管使用了很多專門的軟硬件技術用于提供足夠的性能，但是在同樣的空間下，實現更高的性能輸出，對系統穩定性造成的影響不可避免。目前，UTM安全設備的穩定程度與傳統安全設備相比，仍需不斷提高，且任重道遠。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部