|
大家好�����,我是IT售前工程師Bernie�����。 互聯(lián)網(wǎng)高速發(fā)展�����,使我們面臨的網(wǎng)絡(luò)安全威脅也日益嚴重�����。網(wǎng)絡(luò)復(fù)雜度越來越高�����,漏洞不斷涌現(xiàn)�����。黑客攻擊�����、蠕蟲病毒�����、木馬后門�����、間諜軟件等威脅泛濫,機密數(shù)據(jù)被盜竊�����,重要數(shù)據(jù)被篡改�����、破壞�����,遭受了嚴重的經(jīng)濟損失�����。 社交網(wǎng)絡(luò)�����,在線視頻�����,微博等�����,使得互聯(lián)網(wǎng)用戶信息充分暴露在網(wǎng)上�����。攻擊者就有了更多的機會:他們可以通過攻擊普通用戶�����,得到如信用卡�����,賬號等隱私信息�����;或者得到普通用戶的系統(tǒng)控制權(quán)限�����,進入內(nèi)網(wǎng),繞過防火墻等網(wǎng)絡(luò)層設(shè)備�����。 網(wǎng)絡(luò)設(shè)計5大原則安全�����、穩(wěn)定的網(wǎng)絡(luò)架構(gòu)�����,能夠有效地防止外部危險侵蝕�����,從而提高企業(yè)的辦公安全性�����。在進行網(wǎng)絡(luò)設(shè)計時�����,建議同時考慮以下5個原則�����。 ① 高可靠性原則 可靠的網(wǎng)絡(luò)是其信息化的基礎(chǔ)�����,網(wǎng)絡(luò)安全設(shè)備由于部署在關(guān)鍵節(jié)點�����,成為網(wǎng)絡(luò)穩(wěn)定性的重要因素�����。整個網(wǎng)絡(luò)設(shè)計必須考慮到高可靠性因素�����。 ② 可擴展性 要保證網(wǎng)絡(luò)安全的基礎(chǔ)上整個網(wǎng)絡(luò)具有靈活的可擴展性�����,特別是對安全區(qū)域的新增以及原有安全區(qū)域擴充等要求具有良好的支持�����。 ③ 開放兼容性 網(wǎng)絡(luò)設(shè)計時,既要保證安全產(chǎn)品設(shè)計規(guī)范�����、技術(shù)指標符合國際和工業(yè)標準�����,也要支持多廠家產(chǎn)品�����,從而有效的保護投資�����。 ④ 先進性原則 網(wǎng)絡(luò)中的安全設(shè)備必須采用專用的硬件平臺和專業(yè)的軟件平臺保證設(shè)備本身的安全�����。既體現(xiàn)先進性又比較成熟�����,并且是各個領(lǐng)域公認的領(lǐng)先產(chǎn)品�����。 ⑤ 安全最小授權(quán)原則 網(wǎng)絡(luò)的安全策略管理必須遵從最小授權(quán)原則�����,不同安全區(qū)域內(nèi)的主機只能訪問屬于相應(yīng)網(wǎng)絡(luò)資源�����。 對網(wǎng)絡(luò)資源必須控制保護�����,防止未授權(quán)訪問�����,保證信息安全�����。為了提高整體安全性�����,抵御網(wǎng)絡(luò)攻擊,很多企業(yè)會在網(wǎng)絡(luò)架構(gòu)上部署IPS�����。 入侵防御系統(tǒng)IPS入侵防御系統(tǒng)IPS(Intrusion Prevention System)是一種安全機制�����,通過分析網(wǎng)絡(luò)流量可以檢測出入侵行為(包括緩沖區(qū)溢出攻擊�����、木馬�����、蠕蟲等)�����,并通過一定的響應(yīng)方式對其進行實時中止�����,從而保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害�����。 網(wǎng)絡(luò)邊界IPS  內(nèi)網(wǎng)邊緣IPS 企業(yè)網(wǎng)絡(luò)邊界面臨著諸多挑戰(zhàn)�����。比如:缺失對應(yīng)用層威脅的有效防護及監(jiān)控�����;無法精確控制各種P2P�����、網(wǎng)絡(luò)游戲等應(yīng)用�����;尤其還是面對DDOS攻擊時�����,在應(yīng)用層面防御能力較弱�����。 我們在網(wǎng)絡(luò)邊界的出口處部署IPS,就可以充分發(fā)揮防御系統(tǒng)的優(yōu)勢�����。如: ① 提供全面的應(yīng)用層攻擊防護�����,實現(xiàn)對最新攻擊的檢測防護 ② 支持靈活的應(yīng)用控制策略�����,實現(xiàn)對各類應(yīng)用的細致控制 ③ 入侵攻擊事件日志記錄�����,日志查詢�����、排序等�����,生成詳細的日志報表等 數(shù)據(jù)中心IPS 有些企業(yè)在部署IPS時,會在IDC處部署�����。主要考慮到有些黑客會重點攻擊服務(wù)器�����,比如做SQL注入�����、跨站攻擊�����、DDOS攻擊等�����。  數(shù)據(jù)中心IPS 內(nèi)網(wǎng)數(shù)據(jù)中心的IPS主要作用 ① 有效防護針對服務(wù)器自身漏洞的攻擊 ② 有效防護SQL注入攻擊�����,XSS跨站攻擊等WEB攻擊 ③ 抵御針對服務(wù)器的DDoS攻擊�����,特別是應(yīng)用層的攻擊 在IPS選型和配置的時候必須考慮設(shè)備防護真實流量的大小�����,上下行接口種類和數(shù)量�����。 總結(jié)一款好的IPS設(shè)備需要支持很多功能�����,比如簽名認證�����,以便對威脅進行分析和驗證�����。還要具備先進的環(huán)境感知能力�����,可以根據(jù)環(huán)境變化、系統(tǒng)變化和應(yīng)用變化�����,自動調(diào)整網(wǎng)絡(luò)策略�����,屏蔽無關(guān)告警�����。 此外�����,還要擁有SSL加密流量的防御能力�����,可以對SSL加密流量的解密和檢測�����,通過檢測解密后的流量�����,實現(xiàn)對加密流量的威脅識別和攔截�����。
|
