綜合利用

從供應(yīng)商架構(gòu)中的DDoS減弱方法，用于網(wǎng)絡(luò)維護(hù)的防火墻和入侵防御(IPS技術(shù)，再到用于應(yīng)用層保護(hù)的Web應(yīng)用防火墻，還有用于維護(hù)文件系統(tǒng)完整性的內(nèi)容完整性監(jiān)控系統(tǒng)(CIMS最后是為各種平安和服務(wù)器組件提供日志信息的日志管理系統(tǒng)(LMS不過，要想擁有一個可以實時監(jiān)測平安威脅并具備安全適應(yīng)性的平臺，恐怕還任重而道遠(yuǎn)。

這種防御機(jī)制下，深層防御是指用一系列防御機(jī)制保護(hù)電腦。如果其中一個失效，那么其他維護(hù)方法還可以發(fā)揮作用。偏重實用的深層防御安排案例，例證整合了現(xiàn)有的技術(shù)和高效的綜合型企業(yè)網(wǎng)絡(luò)安全架構(gòu)。

環(huán)境

讓我先考慮下面這個常見的企業(yè)IT裝置情境。許多企業(yè)出于不同的原因使用第三方托管架構(gòu)服務(wù)。通過外部托管，為了說明如何安排深層防御。企業(yè)有能力利用保守空間或能源模式在托管服務(wù)供應(yīng)商租借一個安全的環(huán)境，同時又可以對系統(tǒng)進(jìn)行自主管理，或者他也可以從供應(yīng)商那里購買托管服務(wù)，這其中包括網(wǎng)絡(luò)，系統(tǒng)和安全服務(wù)。這些環(huán)境旨在托管企業(yè)中可被公眾訪問的系統(tǒng)，其范圍涉及郵件，公司用戶文件傳輸服務(wù)，企業(yè)電子商務(wù)平臺。

平安都在環(huán)境設(shè)計中扮演著重要的角色。設(shè)計此類環(huán)境平安的一種典型方法是利用網(wǎng)絡(luò)。這樣討論的目的于讓我設(shè)想企業(yè)將自己的電子商務(wù)平臺托管到這樣的環(huán)境中。電子商務(wù)平臺包括Web層級，不管是租借的還是托管型部署。這些層級就好像是各種交易的傳輸工具或支付網(wǎng)關(guān)一樣。中間件和數(shù)據(jù)庫層級起支持作用。這樣的設(shè)計要求把每個層級都托管到合適的網(wǎng)絡(luò)，也就是虛擬局域網(wǎng)或VLAN用過濾設(shè)備，如在平安性較低的界面使用帶有Web服務(wù)器的防火墻等，便可以完成這一任務(wù)。而中間件和數(shù)據(jù)庫層級要托管到平安性較高的界面。而且不能從公共網(wǎng)絡(luò)直接訪問中間件和數(shù)據(jù)庫層級。某些設(shè)計情境中，中間件和數(shù)據(jù)庫層級位于相同的防火墻界面之后，只不過位于不同VLAN上。此類情境中，兩個層級之間不存在流量過濾，除非交換機(jī)強(qiáng)制要求進(jìn)行過濾。

這類案例中的防火墻就好像是防御互聯(lián)網(wǎng)威脅的最基本屏障。會將這樣的環(huán)境作為安排深層防御戰(zhàn)略(使用現(xiàn)有平安技術(shù))基線。

切實可行的深層防御

可以依照不同企業(yè)的具體需求分別對待。筆者想到一個為上述環(huán)境安排平安安排平安方案的好方法。

第二個組件主要通過已知的流量行為來減輕攻擊(例如，深層防御的第一步是供應(yīng)商網(wǎng)絡(luò)架構(gòu)中的企業(yè)環(huán)境外強(qiáng)制部署。該技術(shù)組件主要負(fù)責(zé)維護(hù)環(huán)境免受分布式DDoS攻擊。DDoS攻擊緩解技術(shù)一般包括兩個組件：第一個組件主要通過監(jiān)控普通流量中的異常行為來檢測攻擊。威脅管理系統(tǒng)或TMS

因此可以減少鏈接飽和的風(fēng)險和增加的帶寬本錢。DDoS維護(hù)通過邊境網(wǎng)關(guān)協(xié)議(從中心路由設(shè)備到DDoS清理中心)實現(xiàn)瞬時的流量分離。最有效的DDoS減緩時通過供應(yīng)商的架構(gòu)實現(xiàn)。

但是托管環(huán)境中，防火墻可以有效阻擋特定網(wǎng)絡(luò)威脅。端口對互聯(lián)網(wǎng)敞開HTTP80/TCP和HTTPS443/TCP其有效性受到局限。這樣的環(huán)境中，最好是用Web應(yīng)用防火墻設(shè)備來增大防火墻。

如跨站點腳本攻擊，Web應(yīng)用防火墻主要被用來保護(hù)環(huán)境免受針對應(yīng)用的攻擊。SQL注入和參數(shù)篡改等。這些設(shè)備都是通過托管環(huán)境中，防火墻和核心網(wǎng)絡(luò)交換機(jī)之間的物理連接來配置。一個Web應(yīng)用防火墻就像是一個橋接設(shè)備，可以在應(yīng)用層攔截那些與已知攻擊向量流量的特征相符合的數(shù)據(jù)流。當(dāng)硬件啟動失效的時候，也不能被打開，所以它能確保流量繼續(xù)流向Web服務(wù)器。一些Web應(yīng)用防火墻供應(yīng)商也提供數(shù)據(jù)庫的監(jiān)控和保護(hù)服務(wù)，這些服務(wù)可以掌控通向數(shù)據(jù)庫的威脅。維護(hù)是通過代理強(qiáng)制安排，而代理通常被安裝在托管數(shù)據(jù)庫的服務(wù)器上。

因此它對以網(wǎng)絡(luò)為中心的攻擊不能進(jìn)行有效攔截如互聯(lián)網(wǎng)蠕蟲。一個Web應(yīng)用防火墻可用來配合入侵防御系統(tǒng)，由于Web應(yīng)用防火墻一般關(guān)注的都是發(fā)生在應(yīng)用層的攻。后者主要是對網(wǎng)絡(luò)層上完成基于簽名的修復(fù)。這些設(shè)備在內(nèi)聯(lián)容量中整合了防火墻，而它離開防火墻的同時會攔截威脅，因此可作為模塊使用。

對于有效地深層防御而言，隨著我進(jìn)一步接近服務(wù)器平臺。抵抗惡意威脅和監(jiān)控文件系統(tǒng)的任務(wù)顯得尤為重要?？梢越Y(jié)合主流反病毒/反惡意軟件和內(nèi)容完整性監(jiān)控系統(tǒng)來實現(xiàn)這一任務(wù)，其中內(nèi)容完整性監(jiān)控系統(tǒng)可以實時追蹤文件系統(tǒng)發(fā)生的更改，并發(fā)出警告。

該系統(tǒng)就好像是單獨平安組件的日志存取器。除了可以用作保守服務(wù)器的日志存取器，將所有的嘗試結(jié)合在一起就可以實現(xiàn)集中式日志管理系統(tǒng)。一個日志管理系統(tǒng)還可以在預(yù)置的事件過濾器上生成實時警告。而且，還能為各種安全組件的日志數(shù)據(jù)提供靈活的搜索界面。另一類名為安全信息和事件管理的系統(tǒng)，則在日志管理中具備根?？杀挥脕泶嫒罩竟芾硐到y(tǒng)。平安信息和事件管理系統(tǒng)擴(kuò)展了日志管理系統(tǒng)的功能，因為它還可以提供智能的威脅分析與減弱威脅的功能。

【編輯推薦】

1. 斬斷DDoS魔掌的六把利刃
2. DDoS攻擊無需畏懼：有效防御拒絕服務(wù)攻擊
3. 教你如何應(yīng)對(DDoS)攻擊
4. 應(yīng)對全局網(wǎng)絡(luò)安全網(wǎng)絡(luò)與DDoS防范