為什么要采購安全產品

 

通過用戶反饋的信息來看，企業購買安全產品更多地是基于采購習慣，而往往較少分析采購的根本原因。絕大多數人認為，進行安全建設首先是要購買防火墻，而現有的安全方案大致有以下幾種：傳統防火墻做區域隔離、統一威脅管理UTM、組合方案FW+IPS+AV+WAF或者下一代防火墻。那么在各類業務場景中，到底選擇哪種產品和解決方案才可以將安全設備的功能實現價值最大化，同時在簡化組網和運維方面可以更加簡單、便捷？

 

需求到底是什么

 

讓我們和您來分享一個用戶案例，通過分步解析來探究到底什么產品才是需求之根本。某企業用戶已經部署了傳統防火墻設備，卻仍然頻繁地遭受攻擊，導致網絡經常癱瘓，所以用戶計劃在互聯網出口處部署一臺一體化網關，認為這樣就可以實現完整的安全防護，在預算有限的條件下盡量解決安全問題。但到底部署哪種一體化網關產品，才可以真正解決問題？

 

根據對網絡部署狀況進行分析，用戶的互聯網出口主要連接內部辦公電腦和對外發布的服務器區。在對外發布區域，部署大量的B/S業務服務器，包括門戶網站、內部OA系統、ERP系統、郵件系統等。在這個場景下，辦公人員上網遭遇的威脅并不是主要矛盾，關鍵是對外發布區域的門戶網站、內部OA、ERP等B/S業務一旦受到威脅，將直接威脅到用戶的生產環境。

 

為了選擇出最適合自己的安全產品，用戶對3款不同類型的設備進行實際測試。希望通過測試結果來證實哪種產品才是“剛需”。

 

網絡現狀不容樂觀

 

測試一周后，統計結果顯示網絡遭遇了大量的攻擊行為，包括針對Web系統的攻擊、漏洞攻擊及拒絕服務攻擊等。分析后發現，主要原因是某應用系統服務器架設在公網上并對公眾用戶開放訪問，帶來了高危風險。

 

服務器被灰鴿子木馬侵蝕

 

種植在服務器區和辦公區的灰鴿子木馬是內網擁塞、攻擊頻繁的根本原因，當設備掛到網絡出口后，通過檢測發現存在大量的灰鴿子攻擊。灰鴿子利用系統存在的漏洞進行遠程控制，因此幕后操縱者可以利用系統漏洞（如IE瀏覽器的漏洞）對終端實施攻擊。如下圖，我們可以看到該漏洞的國際通用編碼為ID10040002，類別為trojan（木馬），以及漏洞危害的簡短描述（包括該漏洞的危險等級）。

 

 

對外服務器也受到牽連

 

檢測結果發現，DMZ區的每臺服務器都遭遇到攻擊行為，其中OA系統服務器被攻擊率為78.4%。事實證明，原本被忽略的對外服務器反而是攻擊者的重點目標。傳統的UTM并不能解決此類問題，無論黑客是直接攻擊這些服務器進行信息竊取，還是通過它們建立侵入內網的跳板，都意味著零防護的對外服務器存在較大的安全隱患。說到這里，您也會發現，原來網絡安全不僅僅是防護上網終端的病毒木馬。

 

DoS攻擊橫行，網絡運行緩慢

 

IP分片是在網絡上傳輸IP報文時常采用的一種技術手段，但也存在嚴重的安全隱患。Ping of Death、teardrop等攻擊都可能導致某些系統在重組IP分片的過程中宕機或重啟。最近，利用IP分片進行網絡攻擊，除了可以進行拒絕服務攻擊（DoS），還是躲避防火墻或者入侵檢測系統的一種慣用手段。部分路由器或者基于網絡的入侵檢測系統（NIDS），由于IP分片重組能力的欠缺，導致無法進行正常的過濾或者檢測、網絡速度緩慢。

 

原來這才是我需要的

 

通過設備提供的各類簡單、易懂的風險威脅報表，組織管理者可以很清楚掌握當前網絡的安全狀況，明確自己到底需要哪種類型的安全產品。測試中發現的漏洞入侵、DoS攻擊、SQL注入、信息竊取均是互聯網出口防護的重點，如果入侵成功，黑客便可在服務器上注入木馬程序，致使在應用系統進行數據下載的用戶面臨病毒的入侵，同時可能會導致服務器癱瘓。其中SQL注入攻擊使得黑客有機會登錄應用程序數據庫執行命令，如果應用程序使用特權過高的帳戶連接到數據庫，結果會更加嚴重。  

 

互聯網出口及對外發布服務器的安全建設需要全方位的L2-L7層防護，UTM或者傳統防火墻是遠遠達不到效果，故該用戶的采購重點應該是原本忽略的對外服務器的應用安全防護。

 

下一代防火墻更加適合互聯網出口+DMZ區的防護，從L2-L7防護效果、投資成本、管理成本、用戶體驗等不同角度來看都有很好的表現，是新型網絡安全建設的首選方案。對于正在進行網絡升級改造的用戶，可以考慮與之前部署的傳統防火墻形成異構。

 

備注：灰鴿子（Hack. Huigezi）是一個集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說用戶的一舉一動都在黑客的監控之下，要竊取賬號、密碼、照片、重要文件都輕而易舉。更甚的是，他們還可以連續捕獲遠程電腦屏幕，能夠監控被控電腦上的攝像頭，自動開機（不開顯示器）并利用攝像頭進行錄像。