【51CTO.com 原創(chuàng)】上次說到美劇，其實廉哥也是給追劇迷，那晚閑來無事，我一口氣擼完了美劇《黑客軍團》第一季。當看到屏幕上的命令行時，居然有一種莫名其妙的激動和共鳴。特別是第一集基本上沒什么尿點，給我印象最深的是有一幕，網(wǎng)站系統(tǒng)癱瘓了，男豬腳和同仁發(fā)現(xiàn)是由DDOS導致的故障，然后發(fā)現(xiàn)服務器里的rootkit四處散播形成僵尸網(wǎng)絡，緊接著集群基本都關(guān)閉，最后男主出馬，他通過改個域名服務器就改變了最后一臺感染的重啟。劇情刺激且抓人，場面扣人心弦。雖然次日反思細節(jié)，感覺理論上說：每個域名都有TTL，修改后是不可能馬上生效的。但這對于神劇的所帶來的“小確幸”來說并不重要。

[[170083]]

安全套件設計

通過閱讀這次的開頭想必大家已然明白我這次要給大家?guī)硎裁戳税?對，網(wǎng)絡安全。談到網(wǎng)絡安全所涉及到的產(chǎn)品，大家一定想到了常見的硬件產(chǎn)品如：防火墻(firewall)，VPN網(wǎng)關(guān)、入侵檢測(IDS)、入侵防御(IPS)和統(tǒng)一威脅管理(UTM)以及下一代防火墻(NGFW)等。這些設備的基本概念和用途，小生就不在這里贅述了，需要了解的，可以出門左拐找隔壁的“度娘”。這些設備誰將取代誰的存廢之爭已討論多年，我在這里不做評判，只想跟大家漫談的是個人在所經(jīng)歷的項目中的一些實施經(jīng)驗和感受。

1. 傳統(tǒng)的將安全設備串糖葫蘆式的部署到網(wǎng)絡中是萬萬不可的。這樣只會造成效率較低、可視性差、管理困難。傳統(tǒng)的設備如防病毒、入侵檢測與防御技術(shù)都是基于模式匹配、黑名單技術(shù)來對已知攻擊進行防御技術(shù)。而如今已是云計算、大數(shù)據(jù)時代，設計與運維人員應當多都通多協(xié)作，合理化部署，在沒有任何特征庫的情況下通過海量數(shù)據(jù)來發(fā)現(xiàn)無規(guī)律的異常的黑客行為以及發(fā)現(xiàn)新的攻擊或行為，因此聯(lián)動與互補顯得尤為重要。

2. 對于絕大多數(shù)已有部分安全硬件設備的企業(yè)，無論是從信息化建設發(fā)展投資保護還是從人員維護熟練程度來說，都沒有必要一下子推倒從來，一步跨到最新的設備套件(UTM)上。

3. 對于要逐年或定期面對內(nèi)審和、或外審的企業(yè)來說，IDS是絕好不過的了。你可以從其“呈現(xiàn)”界面，方便、快捷、豐富的獲取各種表和圖，真是誰用誰知道。

4. UTM雖然“看上去很美”但是要注意UTM模塊見是否割裂、有無聯(lián)動，不然簡單的UTM模塊堆疊會導致應用層性能下降，適得其反。

5. 正所謂道高一尺魔高一丈，隨著黑客攻擊水平的不斷進步，如今多為利用應用安全漏洞進行攻擊，因此，下一代防火墻(NGFW)、IPS基礎(chǔ)上的抗拒絕服務攻擊系統(tǒng)(Anti-DOS)、Web應用防火墻(WAF)等元素應在網(wǎng)絡設計和部署時適當考慮，以應對日漸多樣、復雜、易變的應用程序。

6. 常言道“師傅領(lǐng)進門，修行在個人。”設備縱然再先進放在那里，鮮少維護是(sang)不(xin)行(bing)的(kuang)。我們需要真正做到管理，更新和使用好各種現(xiàn)有的網(wǎng)絡安全設備，按照現(xiàn)有的日常操作流程進行運維，如果能建立或是部分實現(xiàn)企業(yè)內(nèi)信息安全管理體系(Information Security Management System, ISMS乃是極好的。

讓我們再把目光回到前面我給出的整體方案上：

兩條線路接入后，考慮到這是IT系統(tǒng)與外界互聯(lián)網(wǎng)的喉舌要害，本人在此就簡單的設計部署了一套安全套件。之所以命名為安全套件，是因為隨著軟硬件技術(shù)的發(fā)展，在安全接入網(wǎng)關(guān)方面，各大廠商的各種設備在深入開發(fā)其本類特性的同時也不斷加權(quán)相近領(lǐng)域的安全概念。這便使得各類安全產(chǎn)品的單質(zhì)性逐漸淡化，多用途的現(xiàn)象普遍體現(xiàn)。因此，本人覺得在設計和選型方面不必拘泥，完全可以根據(jù)本企業(yè)現(xiàn)有的網(wǎng)絡架構(gòu)、資金預算等方面的實際情況出發(fā)，保證在功能上基本實現(xiàn)防火墻，IPS(入侵防護系統(tǒng))特別是有Anti-DDOS(抗分布式拒絕服務)特性, IDS(入侵檢測系統(tǒng))，漏洞掃描，甚至可以有UTM(統(tǒng)一威脅管理)之類集大成設備的部署。

特別要強調(diào)的是這幾年來，見諸媒體的各大知名企業(yè)網(wǎng)站遭遇DDOS攻擊事件顯示出攻擊者從網(wǎng)絡層、傳輸層及應用層入手，進行如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood等拒絕服務攻擊。因此為了防止本所內(nèi)部網(wǎng)絡以及對外服務網(wǎng)站因為連接耗盡而癱瘓，本人覺得應當將“抗DDOS”作為了安全套件的一項重要考量指標。

本期最后跟大家說一個廉哥我切身經(jīng)歷過的安全事件吧。若干年前，我曾在一家信息安全公司給南方一個政府做信息安全的示范項目。結(jié)果某一天客戶辦公室的每臺電腦都彈出一句“It’s a test. I came, I saw, I conquered!”的小黑窗口。客戶領(lǐng)導大呼這是什么鬼?城里人太會玩了!后來查明是網(wǎng)絡攻擊安全部門的新來實習生在利用腳本模擬風暴攻擊時擅用誤接入到了正常辦公內(nèi)網(wǎng)絡所致。哎，可惜了，這位騷年程序猿，明明可以靠測試吃飯，卻偏要靠憑這樣的“才華”出名，公司的霸道總裁只能送他兩個字“走你!”所以說咱們搞信息安全的人，一不小心把自己給整進去了，這樣真的好嗎?

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處?！?/p>