很多用戶都會思考，為什么已經(jīng)部署了安全設(shè)備，當(dāng)面對黑客發(fā)出攻擊時，卻仍然束手無策呢？讓我們通過下面的案例來向您展示原因到底是什么。

 

部署了安全設(shè)備為什么還受攻擊？

 

某單位信息中心的副主任是由其他部門調(diào)職過來，主管信息化建設(shè)方面的工作。任職不久便遇到一件非常棘手的事情，單位的網(wǎng)絡(luò)被攻擊癱瘓，導(dǎo)致內(nèi)部辦公人員無法上網(wǎng)，同時對外網(wǎng)站在公網(wǎng)用戶訪問時也時斷時續(xù)。為了能夠盡早解決問題，該副主任率隊進行了徹夜的排查。

 

傳統(tǒng)防火墻形同虛設(shè)

 

首先對主要的安全設(shè)備-傳統(tǒng)防火墻進行了排查，翻閱十幾頁日志后發(fā)現(xiàn)大部分都是對端口通信的記錄，很難從中發(fā)現(xiàn)什么問題。為什么有了防火墻，還是會受到攻擊呢？

 

 

IPS似乎沒有配置任何策略

 

防火墻作為訪問控制設(shè)備，沒有發(fā)現(xiàn)攻擊還可以理解。接下來，副主任率隊又對同期采購的入侵防御系統(tǒng)（IPS）進行了詳細的日志分析。令人意想不到的是，入侵防御居然也沒有發(fā)現(xiàn)什么問題。

 

 

經(jīng)過排查，最終發(fā)現(xiàn)根本原因是對于剛購買的入侵防御系統(tǒng)，工程師沒有配置正確的策略。比如，添加了IIS系統(tǒng)漏洞的防護，可是對外的服務(wù)器中根本就沒有使用IIS。通常情況下，不熟悉業(yè)務(wù)的IT管理員無法根據(jù)業(yè)務(wù)情況來選擇適合的策略，所以大多數(shù)選擇了策略全開，但這必然會導(dǎo)致效率下降。 #p#

 

網(wǎng)絡(luò)安全其實沒有那么復(fù)雜

 

遇到這種問題，大部分用戶會思考，每年網(wǎng)絡(luò)安全建設(shè)的投入到底有沒有價值、為什么還會有攻擊。其實，網(wǎng)絡(luò)安全管理并沒有想象得那么復(fù)雜。

 

該用戶之前已經(jīng)采購過我們的上網(wǎng)行為管理和SSL VPN產(chǎn)品，偶然地了解到深信服的下一代防火墻產(chǎn)品（NGAF）防護效果較為明顯，于是決定通過測試先看一下效果。

 

了解自身業(yè)務(wù)部署的對應(yīng)策略

 

針對用戶在此次事件中的遭遇進行分析，我們認為用戶需要更簡單、容易操控的安全防護策略，依據(jù)自身業(yè)務(wù)系統(tǒng)及應(yīng)用的情況進行有針對性的策略配置。但事實上，很多IT管理員并不會耗費過多精力去了解業(yè)務(wù)部署。在此，我們建議用戶使用下一代防火墻的“一鍵部署”功能。

 

通過主動對網(wǎng)絡(luò)狀況進行安全評估，生成策略和報表，再通過“一鍵部署”功能，自動生成針對性的安全策略，這樣便可避免管理員由于不熟悉業(yè)務(wù)而導(dǎo)致的安全策略錯配、漏配問題。

 

 

通過對服務(wù)器、Web系統(tǒng)進行漏洞掃描，可以自動生成針對性的策略，簡化了用戶的運維。

 

 

了解網(wǎng)絡(luò)中的流量,實時掌控安全狀況

 

借助下一代防火墻，IT管理員可以清晰看到經(jīng)過防火墻的流量都有哪些、哪些吞噬了較大的帶寬，以此為依據(jù)來決定禁用哪些高帶寬消耗或可能帶來威脅的應(yīng)用。

 

 

通過整體分析來找尋攻擊的蛛絲馬跡

 

各類攻擊間往往有必然聯(lián)系，如小偷入室盜竊一般，也必然要經(jīng)過踩點、試探、入室盜竊。黑客發(fā)起攻擊也大抵如此，首先踩點、然后進行漏洞掃描分析、再進行提權(quán)以及攻擊破壞、最后走之前還要留下后門。所以只有通過完整的分析，才可以真正了解攻擊本身。

 

從整體威脅中找到受攻擊的目標(biāo)，再進行分析來探究攻擊者的目的。如下圖所示，這臺服務(wù)器遭受了大約42.7%的攻擊，主要是SQL注入和DoS攻擊。

 

 

智能聯(lián)動讓您高枕無憂

 

在幫助用戶分析和測試的過程中，我們也使用到了下一代防火墻的智能聯(lián)動功能。通過防火墻與IPS、WAF的模塊間智能聯(lián)動，可以自動生成臨時的控制策略。大幅提高了黑客的攻擊成本，是針對APT攻擊的有效防御手段之一。

 

圖 7 智能模塊間聯(lián)動

 

綜上所述，網(wǎng)絡(luò)安全并沒有這么復(fù)雜，恐懼心理往往來源于對未知事物的不確定，例如：不了解業(yè)務(wù)及風(fēng)險不知道如何制定策略、發(fā)現(xiàn)攻擊無法對其進行鑒別等。通過下一代防火墻的體驗，用戶可以主動評估網(wǎng)絡(luò)及系統(tǒng)的風(fēng)險，一鍵生成針對性的策略、簡化運維。可以從L2-7層宏觀的角度分析黑客的攻擊行為，通過智能防御手段自動生成策略，提高黑客攻擊成本。