【51CTO.com 原創(chuàng)】上次說到美劇，其實廉哥也是給追劇迷，那晚閑來無事，我一口氣擼完了美劇《黑客軍團》第一季。當(dāng)看到屏幕上的命令行時，居然有一種莫名其妙的激動和共鳴。特別是第一集基本上沒什么尿點，給我印象最深的是有一幕，網(wǎng)站系統(tǒng)癱瘓了，男豬腳和同仁發(fā)現(xiàn)是由DDOS導(dǎo)致的故障，然后發(fā)現(xiàn)服務(wù)器里的rootkit四處散播形成僵尸網(wǎng)絡(luò)，緊接著集群基本都關(guān)閉，最后男主出馬，他通過改個域名服務(wù)器就改變了最后一臺感染的重啟。劇情刺激且抓人，場面扣人心弦。雖然次日反思細節(jié)，感覺理論上說：每個域名都有TTL，修改后是不可能馬上生效的。但這對于神劇的所帶來的“小確幸”來說并不重要。

[[170083]]

安全套件設(shè)計

通過閱讀這次的開頭想必大家已然明白我這次要給大家?guī)硎裁戳税?對，網(wǎng)絡(luò)安全。談到網(wǎng)絡(luò)安全所涉及到的產(chǎn)品，大家一定想到了常見的硬件產(chǎn)品如：防火墻(firewall)，VPN網(wǎng)關(guān)、入侵檢測(IDS)、入侵防御(IPS)和統(tǒng)一威脅管理(UTM)以及下一代防火墻(NGFW)等。這些設(shè)備的基本概念和用途，小生就不在這里贅述了，需要了解的，可以出門左拐找隔壁的“度娘”。這些設(shè)備誰將取代誰的存廢之爭已討論多年，我在這里不做評判，只想跟大家漫談的是個人在所經(jīng)歷的項目中的一些實施經(jīng)驗和感受。

1. 傳統(tǒng)的將安全設(shè)備串糖葫蘆式的部署到網(wǎng)絡(luò)中是萬萬不可的。這樣只會造成效率較低、可視性差、管理困難。傳統(tǒng)的設(shè)備如防病毒、入侵檢測與防御技術(shù)都是基于模式匹配、黑名單技術(shù)來對已知攻擊進行防御技術(shù)。而如今已是云計算、大數(shù)據(jù)時代，設(shè)計與運維人員應(yīng)當(dāng)多都通多協(xié)作，合理化部署，在沒有任何特征庫的情況下通過海量數(shù)據(jù)來發(fā)現(xiàn)無規(guī)律的異常的黑客行為以及發(fā)現(xiàn)新的攻擊或行為，因此聯(lián)動與互補顯得尤為重要。

2. 對于絕大多數(shù)已有部分安全硬件設(shè)備的企業(yè)，無論是從信息化建設(shè)發(fā)展投資保護還是從人員維護熟練程度來說，都沒有必要一下子推倒從來，一步跨到最新的設(shè)備套件(UTM)上。

3. 對于要逐年或定期面對內(nèi)審和、或外審的企業(yè)來說，IDS是絕好不過的了。你可以從其“呈現(xiàn)”界面，方便、快捷、豐富的獲取各種表和圖，真是誰用誰知道。

4. UTM雖然“看上去很美”但是要注意UTM模塊見是否割裂、有無聯(lián)動，不然簡單的UTM模塊堆疊會導(dǎo)致應(yīng)用層性能下降，適得其反。

5. 正所謂道高一尺魔高一丈，隨著黑客攻擊水平的不斷進步，如今多為利用應(yīng)用安全漏洞進行攻擊，因此，下一代防火墻(NGFW)、IPS基礎(chǔ)上的抗拒絕服務(wù)攻擊系統(tǒng)(Anti-DOS)、Web應(yīng)用防火墻(WAF)等元素應(yīng)在網(wǎng)絡(luò)設(shè)計和部署時適當(dāng)考慮，以應(yīng)對日漸多樣、復(fù)雜、易變的應(yīng)用程序。

6. 常言道“師傅領(lǐng)進門，修行在個人。”設(shè)備縱然再先進放在那里，鮮少維護是(sang)不(xin)行(bing)的(kuang)。我們需要真正做到管理，更新和使用好各種現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備，按照現(xiàn)有的日常操作流程進行運維，如果能建立或是部分實現(xiàn)企業(yè)內(nèi)信息安全管理體系(Information Security Management System, ISMS乃是極好的。

讓我們再把目光回到前面我給出的整體方案上：

兩條線路接入后，考慮到這是IT系統(tǒng)與外界互聯(lián)網(wǎng)的喉舌要害，本人在此就簡單的設(shè)計部署了一套安全套件。之所以命名為安全套件，是因為隨著軟硬件技術(shù)的發(fā)展，在安全接入網(wǎng)關(guān)方面，各大廠商的各種設(shè)備在深入開發(fā)其本類特性的同時也不斷加權(quán)相近領(lǐng)域的安全概念。這便使得各類安全產(chǎn)品的單質(zhì)性逐漸淡化，多用途的現(xiàn)象普遍體現(xiàn)。因此，本人覺得在設(shè)計和選型方面不必拘泥，完全可以根據(jù)本企業(yè)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)、資金預(yù)算等方面的實際情況出發(fā)，保證在功能上基本實現(xiàn)防火墻，IPS(入侵防護系統(tǒng))特別是有Anti-DDOS(抗分布式拒絕服務(wù))特性, IDS(入侵檢測系統(tǒng))，漏洞掃描，甚至可以有UTM(統(tǒng)一威脅管理)之類集大成設(shè)備的部署。

特別要強調(diào)的是這幾年來，見諸媒體的各大知名企業(yè)網(wǎng)站遭遇DDOS攻擊事件顯示出攻擊者從網(wǎng)絡(luò)層、傳輸層及應(yīng)用層入手，進行如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood等拒絕服務(wù)攻擊。因此為了防止本所內(nèi)部網(wǎng)絡(luò)以及對外服務(wù)網(wǎng)站因為連接耗盡而癱瘓，本人覺得應(yīng)當(dāng)將“抗DDOS”作為了安全套件的一項重要考量指標。

本期最后跟大家說一個廉哥我切身經(jīng)歷過的安全事件吧。若干年前，我曾在一家信息安全公司給南方一個政府做信息安全的示范項目。結(jié)果某一天客戶辦公室的每臺電腦都彈出一句“It’s a test. I came, I saw, I conquered!”的小黑窗口。客戶領(lǐng)導(dǎo)大呼這是什么鬼?城里人太會玩了!后來查明是網(wǎng)絡(luò)攻擊安全部門的新來實習(xí)生在利用腳本模擬風(fēng)暴攻擊時擅用誤接入到了正常辦公內(nèi)網(wǎng)絡(luò)所致。哎，可惜了，這位騷年程序猿，明明可以靠測試吃飯，卻偏要靠憑這樣的“才華”出名，公司的霸道總裁只能送他兩個字“走你!”所以說咱們搞信息安全的人，一不小心把自己給整進去了，這樣真的好嗎?

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處。】