擅長(zhǎng)領(lǐng)域：網(wǎng)絡(luò)、安全、通信，移動(dòng)應(yīng)用

Check Point軟件技術(shù)有限公司北方區(qū)安全顧問。畢業(yè)于北京信息科技大學(xué)自動(dòng)化系。具有CISP信息安全注冊(cè)師，以及Check Point CCSE高級(jí)安全工程師認(rèn)證。擁有超過８年的安全行業(yè)從業(yè)經(jīng)驗(yàn)。曾給包括金融、電信、政府、軍隊(duì)等大型客戶進(jìn)行安全設(shè)計(jì)與咨詢培訓(xùn)工作。

查看本期門診精彩實(shí)錄: http://doctor.51cto.com/develop-172.html  

參與最新技術(shù)門診：http://doctor.51cto.com/

精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：請(qǐng)問，如何構(gòu)建適合企業(yè)的入侵防護(hù)系統(tǒng)呢？

A：這個(gè)問題很大的, 通常先了解自己的網(wǎng)絡(luò)應(yīng)用, 再分析比較各個(gè)產(chǎn)品廠商,最好找到類似的企業(yè)案例應(yīng)用參考;最后當(dāng)然實(shí)踐出真知,上線測(cè)試一下,如果可以再模擬攻擊一下,看好不好用。

Q：老師您們好：主動(dòng)防護(hù)一般主要是哪幾種形式？假如遭到惡意攻擊時(shí)應(yīng)采取怎樣的應(yīng)急措施？

A：根據(jù)不同的廠家和技術(shù), 可以reject , drop , reset 連接等;遭到惡意攻擊如果不是性能上的, 可以防火墻或之前的訪問控制上直接加黑名單阻斷,如果是DOS或DDOS, 在你的日志上有攻擊源地址, 你可以找你的接入商要求封掉該地址對(duì)你的連接,或者從網(wǎng)絡(luò)等方式找到該地址的所有維護(hù)者,通常是某些IDC里托管的機(jī)器,可以聯(lián)系該IDC管理員,出示證據(jù),解釋清楚, 通常管理員會(huì)斷哪個(gè)肉雞的網(wǎng)再通知哪個(gè)所有人,起碼我之前這樣作過。

Q：學(xué)網(wǎng)絡(luò)安全并不是很好，我想問下，如果把所有的漏洞都補(bǔ)齊，黑客還能入侵我們的操作系統(tǒng)嗎？如何發(fā)現(xiàn)自己的系統(tǒng)被入侵了？入侵檢測(cè)系統(tǒng)，檢測(cè)的哪種行為算是被入侵？

A：漏洞都補(bǔ)齊(只是理論上,沒有哪個(gè)廠家宣稱自己沒有任何弱點(diǎn)) ,也可能被侵入;比如你的系統(tǒng)已經(jīng)把所有的想象到的補(bǔ)丁都打了, 但你上網(wǎng)訪問某些網(wǎng)站,說要下載某個(gè)運(yùn)行軟件, 你同意了, 或者根本就是混在其他應(yīng)用里下來的, 是你主動(dòng)連接下載的, 那就沒有用;所以通常IPS就是,等你人為的犯錯(cuò),它也是可以起到一定防護(hù)作用的入侵檢測(cè)系統(tǒng)，檢測(cè)的哪種行為算是被入侵？要看它的策略定義了。

Q：個(gè)人比較頭疼被入侵的問題，公司業(yè)務(wù)已經(jīng)被入侵過多次，包括webshell、掛馬以及DDOS流量攻擊，打擊很大，但是一直也沒找到讓人踏實(shí)好用的方法解決掉這些問題，趁此機(jī)會(huì)請(qǐng)教兩位安全方向的大師，對(duì)于做互聯(lián)網(wǎng)行業(yè)的公司，其公網(wǎng)服務(wù)器的保護(hù)該做哪些方面的安全措施？哪些設(shè)備對(duì)這些方面的防護(hù)效果會(huì)比較好？麻煩推薦下，謝謝！！

A：通常來說.公網(wǎng)上的服務(wù)應(yīng)用,首先建議要用不是那么知名的漏洞很多的那些應(yīng)用軟件,其次系統(tǒng)加固一下,把系統(tǒng)缺省啟動(dòng)的那些不用的應(yīng)用和端口都關(guān)掉,能修正的補(bǔ)丁用上,帳戶密碼就不用說了, 不要上來Root 權(quán)限就可以直接連接,怎么也得用低級(jí)帳號(hào)登陸再在需要時(shí)候切換哪;之后前面最少有防火墻做訪問限制,只開放對(duì)外的端口和應(yīng)用,對(duì)那些維護(hù)類的如telnet / ssh / ftp等在防火墻上最好作好日志記錄, 能有先一步的認(rèn)證機(jī)制或VPN連接就更好了,之后如果可以,再放個(gè) IPS , 針對(duì)你的應(yīng)用重點(diǎn)防御; 你覺得防護(hù)作的差不多了, 找個(gè)知名的攻擊類探測(cè)掃描器的廠商,針對(duì)性攻擊嘗試一下,如果還有漏洞就再補(bǔ)。

Q：請(qǐng)教兩位專家：

1、選擇了IPS,是否就沒有必要再用IDS產(chǎn)品了呢？

2、現(xiàn)在網(wǎng)絡(luò)安全界很流行UTM，那選擇了UTM這樣的綜合安全防護(hù)產(chǎn)品，是否就可以不用再單獨(dú)考慮IPS系統(tǒng)了呢？

A： 1. IPS 重在防御IDS 重在檢測(cè)，功能上有很大區(qū)別并不能相互替代；

2. 傳統(tǒng)UTM，網(wǎng)關(guān)之中的IPS功能較為簡(jiǎn)單，無法和單一IPS解決方案相比。

Check Point 基于軟件刀片架構(gòu)的XTM安全網(wǎng)關(guān)解決了傳統(tǒng)UTM的局限性，網(wǎng)關(guān)中的IPS模塊可以提供企業(yè)級(jí)IPS功能和性能。

Q：我們公司最近也在做入侵防護(hù)系統(tǒng)的選型工作，但是面對(duì)市面上那么多品牌和型號(hào)的IPS產(chǎn)品，我們?cè)撊绾芜x擇呢？需要考慮哪些技術(shù)指標(biāo)呢？

A：這個(gè)要多查些網(wǎng)絡(luò)對(duì)比評(píng)論的文章了.通常選擇的指標(biāo), 性能方面有加載檢測(cè)防護(hù)策略條件下的吞吐量, 時(shí)間延遲,最大并法容量,新建連接能力等, 硬件上有Fail-open卡,電源風(fēng)扇磁盤存儲(chǔ)的冗余等, 軟件功能有檢測(cè)項(xiàng)目的數(shù)目,測(cè)試的誤報(bào)率和漏報(bào)率,管理界面的友好度, 統(tǒng)計(jì)分析報(bào)表等。

Q：一般的中小企業(yè)有上這種產(chǎn)品的必要嗎?   一般的防火墻,路由器,交換機(jī)的基礎(chǔ)架構(gòu)再上這個(gè)是否會(huì)減低網(wǎng)絡(luò)的傳輸效率? 這和反病毒,UTM類的安全產(chǎn)品具體有什么不同?

A：中小型企業(yè)從安全的角度看, 也有需要, 但要看在安全方面的投資;安全和應(yīng)用有的時(shí)候是有些矛盾的, 安全控制的越厲害, 用起來就有慢啊等不方便的地方, 但安全是一種需求,甚至是制度要求, 該要的還是要部署;安全產(chǎn)品類型很多了，防火墻, IPS , 防病毒等是不同的方面, 不能互相徹底替代的。

Q：老師，您好。我想問問，在以linux搭建服務(wù)器的中小企業(yè)在安全方面有什么地方注意的，是不是使用linux的系統(tǒng)出現(xiàn)安全問題的可能性要比window少一下呢？

A：按個(gè)人經(jīng)驗(yàn),linux會(huì)少些問題;但不要忘了,linux也是很普遍應(yīng)用的系統(tǒng),上面的很多缺省服務(wù)也是有名的漏洞多;所以用linux注意要關(guān)閉不用的服務(wù)和端口,還有 root和其他系統(tǒng)用戶之間的轉(zhuǎn)換,與目錄文件權(quán)限。

Q：請(qǐng)問：有5臺(tái)win2k3 服務(wù)器，主要應(yīng)用web ； mssql；mysql； mail ；每個(gè)服務(wù)器大致有200個(gè)左右制作質(zhì)量層次不齊網(wǎng)站（客戶測(cè)試的），導(dǎo)致資源負(fù)載過大。或經(jīng)常有掛馬發(fā)生，或者某個(gè)網(wǎng)站線程死掉無法打開。還有就是攻擊某個(gè)網(wǎng)站，導(dǎo)致整個(gè)服務(wù)器打不開如何有一個(gè)好的方案對(duì)服務(wù)器進(jìn)行優(yōu)化。能對(duì)上述問題有好的解決或者控制購買軟硬件可建議一二。

A：這個(gè)不是IPS就能解決的，需要提升系統(tǒng)設(shè)備性能, 做系統(tǒng)加固;最好通過虛擬機(jī)分開,不要所有應(yīng)用都掛在一個(gè)系統(tǒng)里;然后才是前面IPS針對(duì)主要應(yīng)用進(jìn)行針對(duì)性防護(hù)。

Q：請(qǐng)問專家，IPS系統(tǒng)是否具有蜜罐的功能？如果攻擊者采用DDOS攻擊，那么是否能夠有什么有效的措施阻止該類攻擊？?

A：部分品牌有,通過分類后將DOS類型的攻擊數(shù)據(jù)流導(dǎo)引開;原則上DDOS是沒有特別好的方法阻止的, 你在被動(dòng)的接受,只有提升系統(tǒng)設(shè)備性能和檢測(cè)判決的精度,還有聯(lián)系上層接入商,從上層封殺DDOS的肉雞地址。

查看更多精彩門診：http://doctor.51cto.com/