新闻与活动

深信服安全专家提醒您:适合自己的安全产品,才是最安全的!

2014-4-18 10:34:42

摘要:面对形形色色,防不胜防的网络攻击行为,深信服下一代防火墙实现了全方位的L2-L7层防护,真正构筑起防范病毒、抵挡攻击的“高墙”。


近几年来,安全事件频发IT管理者提高了警惕,信息化建设已经成为关键性工作。由于网络攻击种类繁多、新型攻击技术层出不穷,IT管理者在面对众多安全解决方案时常会感到无所适从,防火墙、入侵防御系统、防病毒网关、Web应用防火墙……到底哪种品才是适合自己的呢


为什么要采购安全产品

通过用户反馈的信息来看,企业购买安全产品更多地是基于采购习惯,而往往较少分析采购的根本原因。绝大多数认为,进行安全建设首先是要购买防火墙,而现有安全方案大致有以下几种:传统防火墙做区域隔离、统一威胁管理UTM、组合方案FW+IPS+AV+WAF或者下一代防火墙。那么在各类业务场景中,到底选择哪种产品和解决方案可以将安全设备的功能实现价值最大,同时简化组网运维方面可以更加简单、便捷


需求到底是什么

让我们和您来分享一个用户案例,通过分步解析来探究到底什么产品才是需求之根本。某企业用户已经部署了传统防火墙设备,却仍然频繁地遭受攻击,导致网络经常瘫痪,所以用户计划在互联网出口处部署一台一体化网关,认为这样就可以实现完整的安全防护,在预算有限的条件下尽量解决安全问题。但到底部署哪种一体化网关产品,才可以真正解决问题?


根据对网络部署状况进行分析,用户的互联网出口主要连接内部办公电脑和对外发布的服务器区。在对外发布区域,部署大量的B/S业务服务器,包括门户网站、内部OA系统、ERP系统、邮件系统等。在这个场景下,办公人员上网遭遇的威胁并不是主要矛盾,关键是对外发布区域的门户网站、内部OA、ERP等B/S业务一旦受到威胁,将直接威胁到用户的生产环境。


为了选择出最适合自己的安全产品,用户对3款不同类型的设备进行实际测试。希望通过测试结果来证实哪种产品才是“刚需”。


网络现状不容乐观

测试一周后,统计结果显示网络遭遇了大量的攻击行为,包括针对Web系统的攻击、漏洞攻击及拒绝服务攻击等。分析后发现,主要原因是某应用系统服务器架设在公网上并对公众用户开放访问,带来了高危风险。


1  网络攻击统计结果


服务器被灰鸽子木马侵蚀

种植在服务器区和办公区的灰鸽子木马是内网拥塞、攻击频繁的根本原因,当设备挂到网络出口后,通过检测发现存在大量的灰鸽子攻击。灰鸽子利用系统存在的漏洞进行远程控制,因此幕后操纵者可以利用系统漏洞(如IE浏览器的漏洞)对终端实施攻击。如下图,我们可以看到该漏洞的国际通用编码为ID10040002,类别为trojan(木马),以及漏洞危害的简短描述(包括该漏洞的危险等级)。


图 2 下一代防火墙设备检测出网络中存在大量灰鸽子(Huigezi)木马


图3 灰鸽子(Huigezi)木马的详细信息



对外服务器也受到牵连

检测结果发现,DMZ区的每台服务器都遭遇到攻击行为,其中OA系统服务器被攻击率为78.4%。事实证明,原本被忽略的对外服务器反而是攻击者的重点目标。传统的UTM并不能解决此类问题,无论黑客是直接攻击这些服务器进行信息窃取,还是通过它们建立侵入内网的跳板,都意味着零防护的对外服务器存在较大的安全隐患。说到这里,您也会发现,原来网络安全不仅仅是防护上网终端的病毒木马。


图 4 服务器安全—按目标服务器统计图



DoS攻击横行,网络运行缓慢

IP分片是在网络上传输IP报文时常采用的一种技术手段,但也存在严重的安全隐患。Ping of Death、teardrop等攻击都可能导致某些系统在重组IP分片的过程中宕机或重启。最近,利用IP分片进行网络攻击,除了可以进行拒绝服务攻击(DoS),还是躲避防火墙或者入侵检测系统的一种惯用手段。部分路由器或者基于网络的入侵检测系统(NIDS),由于IP分片重组能力的欠缺,导致无法进行正常的过滤或者检测、网络速度缓慢。


原来这才是我需要的

通过设备提供的各类简单、易懂的风险威胁报表,组织管理者可以很清楚掌握当前网络的安全状况,明确自己到底需要哪种类型的安全产品。测试中发现的漏洞入侵、DoS攻击、SQL注入、信息窃取均是互联网出口防护的重点,如果入侵成功,黑客便可在服务器上注入木马程序,致使在应用系统进行数据下载的用户面临病毒的入侵,同时可能会导致服务器瘫痪。其中SQL注入攻击使得黑客有机会登录应用程序数据库执行命令,如果应用程序使用特权过高的帐户连接到数据库,结果会更加严重。  


图 5 简单易懂的安全分析报表


互联网出口及对外发布服务器的安全建设需要全方位的L2-L7层防护,UTM或者传统防火墙是远远达不到效果,故该用户的采购重点应该是原本忽略的对外服务器的应用安全防护。


下一代防火墙更加适合互联网出口+DMZ区的防护,从L2-L7防护效果、投资成本、管理成本、用户体验等不同角度来看都有很好的表现,是新型网络安全建设的首选方案。对于正在进行网络升级改造的用户,可以考虑与之前部署的传统防火墙形成异构。


备注:灰鸽子(Hack. Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,能够监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。


了解更多详情,请点击:http://www.sangfor.com.cn/product/ngaf/outline.html

  • 产品试用
  • 典型案例
  • 订阅资讯

联系我们

联系我们