新闻与活动

深信服安全专家告诉您:网络安全防御其实没有那么复杂

2014-4-17 17:39:02

摘要:在备受关注的网络安全部署问题上,深信服下一代防火墙提供了更简单、更容易操控的安全防护策略,在了解网络中的流量,实时掌控安全状况的同时,通过整体分析来找寻攻击的蛛丝马迹。深信服下一代防火墙真正意义上让网络安全管理实现简单化。


在绝大多数看来,网络安全似乎一个较为深奥的话题,如何规划组织的安全建设制定安全策略洞悉安全问题,都给IT管理者的工作增加几分难度。

很多用户都会思考,为什么已经部署了安全设备,当面对黑客发出攻击时,却仍然束手无策呢?让我们通过下面的案例来向您展示原因到底是什么


部署了安全设备为什么还受攻击?

国家某信息中心的副主任是由其他部门调职过来,主管信息化建设方面的工作。任职不久便遇到一件非常棘手的事情,单位的网络被攻击瘫痪,导致内部办公人员无法上网,同时对外网站在公网用户访问时也时断时续。为了能够尽早解决问题,该副主任率队进行了彻夜的排查。


传统防火墙形同虚设

首先对主要安全设备-传统防火墙进行了排查,翻阅十几页日志后发现大部分都是端口通信的记录,很难从中发现什么问题。为什么有了防火墙,还是受到攻击呢?


1 某厂商传统防火墙界面


IPS似乎没有配置任何策略

防火墙作为访问控制设备,没有发现攻击还可以理解。接下来,副主任率队又对同期采购的入侵防御系统(IPS)进行了详细的日志分析。令人意想不到的是,入侵防御居然也没有发现什么问题。



2:某厂商IPS设备界面


经过排查,最终发现根本原因是对于刚购买的入侵防御系统,工程师没有配置正确的策略。比如,添加了IIS系统漏洞的防护,可是对外的服务器中根本就没有使用IIS。通常情况下,不熟悉业务的IT管理员无法根据业务情况来选择适合的策略,所以大多数选择了策略全开,但这必然会导致效率下降。


网络安全其实没有那么复杂

遇到这种问题,大部分用户会思考,每年网络安全建设的投入到底有没有价值、为什么还会有攻击。其实,网络安全管理并没有想象得那么复杂。


该用户之前已经采购过我们的上网行为管理和SSL VPN产品,偶然地了解到深信服的下一代防火墙产品(NGAF)防护效果较为明显,于是决定通过测试先看一下效果。


了解自身业务部署的对应策略

针对用户在此次事件中的遭遇进行分析,我们认为用户需要更简单、容易操控的安全防护策略,依据自身业务系统及应用的情况进行有针对性的策略配置。但事实上,很多IT管理员并不会耗费过多精力去了解业务部署。在此,我们建议用户使用下一代防火墙的“一键部署”功能。


通过主动对网络状况进行安全评估,生成策略和报表,再通过“一键部署”功能,自动生成针对性的安全策略,这样便可避免管理员由于不熟悉业务而导致的安全策略错配、漏配问题。


3 自动评估安全风险,一键生成安全策略

 

通过对服务器、Web系统进行漏洞扫描,可以自动生成针对性的策略,简化了用户的运维。


4 策略联动界面图


了解网络中的流量,实时掌控安全状况

借助下一代防火墙,IT管理员可以清晰看到经过防火墙的流量都有哪些、哪些吞噬了较大的带宽,以此为依据来决定禁用哪些高带宽消耗或可能带来威胁的应用。


5 网络流量统计


通过整体分析来找寻攻击的蛛丝马迹

各类攻击间往往有必然联系,如小偷入室盗窃一般,也必然要经过踩点、试探、入室盗窃。黑客发起攻击也大抵如此,首先踩点、然后进行漏洞扫描分析、再进行提权以及攻击破坏、最后走之前还要留下后门。所以只有通过完整的分析,才可以真正了解攻击本身。


从整体威胁中找到受攻击的目标,再进行分析来探究攻击者的目的。如下图所示,这台服务器遭受了大约42.7%的攻击,主要是SQL注入和DoS攻击。


图 6 攻击类型分布


智能联动让您高枕无忧

在帮助用户分析和测试的过程中,我们也使用到了下一代防火墙的智能联动功能。通过防火墙与IPS、WAF的模块间智能联动,可以自动生成临时的控制策略。大幅提高了黑客的攻击成本,是针对APT攻击的有效防御手段之一。


图 7 智能模块间联动


  综上所述,网络安全并没有这么复杂,恐惧心理往往来源于对未知事物的不确定,例如:不了解业务及风险不知道如何制定策略、发现攻击无法对其进行鉴别等。通过下一代防火墙的体验,用户可以主动评估网络及系统的风险,一键生成针对性的策略、简化运维。可以从L2-7层宏观的角度分析黑客的攻击行为,通过智能防御手段自动生成策略,提高黑客攻击成本。


了解更多详情,请点击:http://www.sangfor.com.cn/product/ngaf/outline.html

 


  • 产品试用
  • 典型案例
  • 订阅资讯

联系我们

联系我们