為什么要采購(gòu)安全產(chǎn)品

 

通過用戶反饋的信息來(lái)看，企業(yè)購(gòu)買安全產(chǎn)品更多地是基于采購(gòu)習(xí)慣，而往往較少分析采購(gòu)的根本原因。絕大多數(shù)人認(rèn)為，進(jìn)行安全建設(shè)首先是要購(gòu)買防火墻，而現(xiàn)有的安全方案大致有以下幾種：傳統(tǒng)防火墻做區(qū)域隔離、統(tǒng)一威脅管理UTM、組合方案FW+IPS+AV+WAF或者下一代防火墻。那么在各類業(yè)務(wù)場(chǎng)景中，到底選擇哪種產(chǎn)品和解決方案才可以將安全設(shè)備的功能實(shí)現(xiàn)價(jià)值最大化，同時(shí)在簡(jiǎn)化組網(wǎng)和運(yùn)維方面可以更加簡(jiǎn)單、便捷？

 

需求到底是什么

 

讓我們和您來(lái)分享一個(gè)用戶案例，通過分步解析來(lái)探究到底什么產(chǎn)品才是需求之根本。某企業(yè)用戶已經(jīng)部署了傳統(tǒng)防火墻設(shè)備，卻仍然頻繁地遭受攻擊，導(dǎo)致網(wǎng)絡(luò)經(jīng)常癱瘓，所以用戶計(jì)劃在互聯(lián)網(wǎng)出口處部署一臺(tái)一體化網(wǎng)關(guān)，認(rèn)為這樣就可以實(shí)現(xiàn)完整的安全防護(hù)，在預(yù)算有限的條件下盡量解決安全問題。但到底部署哪種一體化網(wǎng)關(guān)產(chǎn)品，才可以真正解決問題？

 

根據(jù)對(duì)網(wǎng)絡(luò)部署狀況進(jìn)行分析，用戶的互聯(lián)網(wǎng)出口主要連接內(nèi)部辦公電腦和對(duì)外發(fā)布的服務(wù)器區(qū)。在對(duì)外發(fā)布區(qū)域，部署大量的B/S業(yè)務(wù)服務(wù)器，包括門戶網(wǎng)站、內(nèi)部OA系統(tǒng)、ERP系統(tǒng)、郵件系統(tǒng)等。在這個(gè)場(chǎng)景下，辦公人員上網(wǎng)遭遇的威脅并不是主要矛盾，關(guān)鍵是對(duì)外發(fā)布區(qū)域的門戶網(wǎng)站、內(nèi)部OA、ERP等B/S業(yè)務(wù)一旦受到威脅，將直接威脅到用戶的生產(chǎn)環(huán)境。

 

為了選擇出最適合自己的安全產(chǎn)品，用戶對(duì)3款不同類型的設(shè)備進(jìn)行實(shí)際測(cè)試。希望通過測(cè)試結(jié)果來(lái)證實(shí)哪種產(chǎn)品才是“剛需”。

 

網(wǎng)絡(luò)現(xiàn)狀不容樂觀

 

測(cè)試一周后，統(tǒng)計(jì)結(jié)果顯示網(wǎng)絡(luò)遭遇了大量的攻擊行為，包括針對(duì)Web系統(tǒng)的攻擊、漏洞攻擊及拒絕服務(wù)攻擊等。分析后發(fā)現(xiàn)，主要原因是某應(yīng)用系統(tǒng)服務(wù)器架設(shè)在公網(wǎng)上并對(duì)公眾用戶開放訪問，帶來(lái)了高危風(fēng)險(xiǎn)。

 

服務(wù)器被灰鴿子木馬侵蝕

 

種植在服務(wù)器區(qū)和辦公區(qū)的灰鴿子木馬是內(nèi)網(wǎng)擁塞、攻擊頻繁的根本原因，當(dāng)設(shè)備掛到網(wǎng)絡(luò)出口后，通過檢測(cè)發(fā)現(xiàn)存在大量的灰鴿子攻擊?；银澴永孟到y(tǒng)存在的漏洞進(jìn)行遠(yuǎn)程控制，因此幕后操縱者可以利用系統(tǒng)漏洞（如IE瀏覽器的漏洞）對(duì)終端實(shí)施攻擊。如下圖，我們可以看到該漏洞的國(guó)際通用編碼為ID10040002，類別為trojan（木馬），以及漏洞危害的簡(jiǎn)短描述（包括該漏洞的危險(xiǎn)等級(jí)）。

 

 

對(duì)外服務(wù)器也受到牽連

 

檢測(cè)結(jié)果發(fā)現(xiàn)，DMZ區(qū)的每臺(tái)服務(wù)器都遭遇到攻擊行為，其中OA系統(tǒng)服務(wù)器被攻擊率為78.4%。事實(shí)證明，原本被忽略的對(duì)外服務(wù)器反而是攻擊者的重點(diǎn)目標(biāo)。傳統(tǒng)的UTM并不能解決此類問題，無(wú)論黑客是直接攻擊這些服務(wù)器進(jìn)行信息竊取，還是通過它們建立侵入內(nèi)網(wǎng)的跳板，都意味著零防護(hù)的對(duì)外服務(wù)器存在較大的安全隱患。說到這里，您也會(huì)發(fā)現(xiàn)，原來(lái)網(wǎng)絡(luò)安全不僅僅是防護(hù)上網(wǎng)終端的病毒木馬。

 

DoS攻擊橫行，網(wǎng)絡(luò)運(yùn)行緩慢

 

IP分片是在網(wǎng)絡(luò)上傳輸IP報(bào)文時(shí)常采用的一種技術(shù)手段，但也存在嚴(yán)重的安全隱患。Ping of Death、teardrop等攻擊都可能導(dǎo)致某些系統(tǒng)在重組IP分片的過程中宕機(jī)或重啟。最近，利用IP分片進(jìn)行網(wǎng)絡(luò)攻擊，除了可以進(jìn)行拒絕服務(wù)攻擊（DoS），還是躲避防火墻或者入侵檢測(cè)系統(tǒng)的一種慣用手段。部分路由器或者基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS），由于IP分片重組能力的欠缺，導(dǎo)致無(wú)法進(jìn)行正常的過濾或者檢測(cè)、網(wǎng)絡(luò)速度緩慢。

 

原來(lái)這才是我需要的

 

通過設(shè)備提供的各類簡(jiǎn)單、易懂的風(fēng)險(xiǎn)威脅報(bào)表，組織管理者可以很清楚掌握當(dāng)前網(wǎng)絡(luò)的安全狀況，明確自己到底需要哪種類型的安全產(chǎn)品。測(cè)試中發(fā)現(xiàn)的漏洞入侵、DoS攻擊、SQL注入、信息竊取均是互聯(lián)網(wǎng)出口防護(hù)的重點(diǎn)，如果入侵成功，黑客便可在服務(wù)器上注入木馬程序，致使在應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)下載的用戶面臨病毒的入侵，同時(shí)可能會(huì)導(dǎo)致服務(wù)器癱瘓。其中SQL注入攻擊使得黑客有機(jī)會(huì)登錄應(yīng)用程序數(shù)據(jù)庫(kù)執(zhí)行命令，如果應(yīng)用程序使用特權(quán)過高的帳戶連接到數(shù)據(jù)庫(kù)，結(jié)果會(huì)更加嚴(yán)重。  

 

互聯(lián)網(wǎng)出口及對(duì)外發(fā)布服務(wù)器的安全建設(shè)需要全方位的L2-L7層防護(hù)，UTM或者傳統(tǒng)防火墻是遠(yuǎn)遠(yuǎn)達(dá)不到效果，故該用戶的采購(gòu)重點(diǎn)應(yīng)該是原本忽略的對(duì)外服務(wù)器的應(yīng)用安全防護(hù)。

 

下一代防火墻更加適合互聯(lián)網(wǎng)出口+DMZ區(qū)的防護(hù)，從L2-L7防護(hù)效果、投資成本、管理成本、用戶體驗(yàn)等不同角度來(lái)看都有很好的表現(xiàn)，是新型網(wǎng)絡(luò)安全建設(shè)的首選方案。對(duì)于正在進(jìn)行網(wǎng)絡(luò)升級(jí)改造的用戶，可以考慮與之前部署的傳統(tǒng)防火墻形成異構(gòu)。

 

備注：灰鴿子（Hack. Huigezi）是一個(gè)集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說用戶的一舉一動(dòng)都在黑客的監(jiān)控之下，要竊取賬號(hào)、密碼、照片、重要文件都輕而易舉。更甚的是，他們還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕，能夠監(jiān)控被控電腦上的攝像頭，自動(dòng)開機(jī)（不開顯示器）并利用攝像頭進(jìn)行錄像。