安全防护的那些糟心事儿--快来吐槽获赠小礼品！（获奖名单已公布-10-24）

jimmy-_-lixw

提示: 内容被隐藏或删除 内容自动屏蔽

theyellowsea

wuchou55 发表于 2013-09-01 05:20
1：所经历的糟心事：现在随着社会技术的进步，会出现好多方面的威胁，网站的入侵和挂马，权限的管理不严，人 ...

这位网友说的非常笼统，但却囊括了下一代防火墙发展的精髓，那就是在提高安全性的同时，不断的降低运维复杂，同时保障设备持续可用。现在大家会看到各种下一代防火墙的宣传，特点，很多看起来稍有不同，但它们的设计理念基本都是来源于这种思路。各个厂家的区别其实就是体现在安全性的细节上，易用性的感受上，可靠性的保证上。

theyellowsea

七彩饭饭 发表于 2013-09-02 16:19
现在系统数据的安全基本从技术和管理两大方面来考虑，且越来越明朗了。
一方面建立完善的管理制度体系，并 ...

其实硬件设备一方面为安全管理体系提供支撑，一方面它们本身又受限于管理体系，很多漏扫设备实际上都可以用来对网络硬件设备进行扫描，绿盟科技的产品在出厂前都是要经过这一步验证的。同时攻防的演练也可以对网络设备提供的安全能力和自身的安全性进行评估。至于如何购买符合自身需求的网络设备，这实际上是个比较大的问题，关键的步骤是确定你的需求，再根据你的需求设定标准和规格，然后根据标准进行选择，必要的情况下需要进行测试，现在很多安全厂家会在一些指标和功能上标注很多水分，这个时候对我们的安全管理人员来说确实会造成一定的麻烦。当然一个安全设备的采购并不是这里能马上说明白的，还有很多事情需要根据每个客户的不同情况来分别考虑。

七彩饭饭

现在系统数据的安全基本从技术和管理两大方面来考虑，且越来越明朗了。
一方面建立完善的管理制度体系，并要求能落地。另一方面在硬件方面的补充成了关键，如双因子，堡垒主机，ips等。
我们是不是忽略了什么？
我们买的硬件设备本身的安全谁来保障那？
怎么来保障我们能买到符合我们的安全产品哪？

theyellowsea

forgaoqiang 发表于 2013-08-29 23:42
1、说说您眼下所遇到的安全防护的那些糟心事儿
这个事说起来能说个3天3夜，各种蛋疼的问题，主要面对的就是 ...

1、就如各位网友所说的，安全防护这事儿确实是无法单靠几台设备来解决的，实际上需要在管理方面下更大的力气，需要对员工的很多行为作出限制和管控才能解决很多从内网爆发的安全问题。同时安全日志的归并和筛选也是一个问题，现在攻击变的越来越多，很多低层次攻击者往往用几个软件就开始为所欲为，最终导致的是很多安全设备上上报了大量日志，很多时候会埋没重要信息，这方面需要一套更加有效的安全管理中心或SOC软件来提供帮助，但从效果上来看，也顶多做到缓解，并不会完全解决问题。但这个网友所说的WEB服务器被爬，SSH被不断破解这事儿可以依靠WAF设备或者指定多次登录失败后的处理手段来进行缓解，效果应该比日志的那个问题稍好些。

2、这位网友说的好，对应用的识别和管控就是下一代防火墙的一个关键能力，这块也不能说是抢了IPS或IDS的功能，实际上未来的发展是在很多中小企业上提供集成度更高的安全解决方案，原有的多套设备提供孤立的安全能力的情况与很多小企业的资金状况不匹配。在这种情况下，在中低端的市场上会出现安全功能的融合，也就是现在的下一代防火墙，从功能上看，它其实继承了传统防火墙，IPS，上网行为管理等设备的很多功能。在技术实现上，它又摒弃了UTM式的简单集成，采用了一体化的高性能实现。可以说下一代防火墙的出现是在应用发展的大趋势下对用户市场所做的一种适应。
至于你说的云中心和API开放的事情，其实也不单单是下一代防火墙需要有的，未来的趋势就是开放，互通，通过大量信息的整合来提供更加完善和快速的安全响应。这块其实再说多点就是安全设备的协作，云安全或SDN之类的方案，在云安全和安全协作这块我们绿盟已经有一些成型的安全产品和方案了，SDN这块也在研究和跟进当中。如果这个网友有兴趣可以在168文库上搜索绿盟科技的下一代安全研究报告，估计会和你的很多想法相互印证。

theyellowsea

瀚海书香 发表于 2013-09-02 08:38
@theyellowsea DDOS攻击有解吗？貌似这种只能在运营商那里搞吧，所谓的硬件设备都是浮云吧

看情况啦，之前说过，DDoS攻击主要有两种目的，第一种是搞瘫服务器，第二种是把网络阻塞。其中第一种一般是在被攻击服务器前端防护会更好一点，因为在部署方式上，抗DDoS设备可以选择串行或者旁路逻辑串行的方式，这样对很多应用层攻击能做到快速检测和响应。那在运营商那里呢，抗DDoS设备一般都是旁路部署+动态引流，这个时候攻击的响应时间上会有问题，检测准确率上会有不足，但是应对第二种攻击目的会更加等心应手。如果要做完整的防护方案的话，最好还是在网络出口位置和运营商那里都有抗DDoS的能力，平时以网络出口的防护为主，在大流量攻击出现后求助于运营商来进行解决。

瀚海书香

@theyellowsea DDOS攻击有解吗？貌似这种只能在运营商那里搞吧，所谓的硬件设备都是浮云吧

wuchou55

1：所经历的糟心事：现在随着社会技术的进步，会出现好多方面的威胁，网站的入侵和挂马，权限的管理不严，人为操作失误，还有来自外部DDOS的攻击。2：期待下一代防火墙的功能：在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。

forgaoqiang

1、说说您眼下所遇到的安全防护的那些糟心事儿
这个事说起来能说个3天3夜，各种蛋疼的问题，主要面对的就是暴力猜解和DDOS攻击，对于这两种都没有啥好的办法，特别是模拟操作，普通的规则或者防火墙根本区分不开是不是真正的请求还是伪造的请求。

服务器一般都会开SSH服务方便登录管理，但是登录后经常看到成G的安全日志文件，视乎有大量的自动化工具再尝试暴力猜解，因为自己的IP也经常变动，不太方便设置登录规则。WEB服务简直就是服务器噩梦的入口，本来就是有限的带宽，遇到过各种抓取工具的全身爬行，从Apache日志就能看出来，这能咋办？抓住一个封一个IP？ 也只能这样了。

然后就是恶意的用户，总是有那么几个很菜的脚本小子，整天输入各种奇怪的查询串，试图进行注入之类的操作，站点开发的时候就做了基本的过滤和防注入，一般情况下不会中招，但是看这访问日志感觉蛋疼无比，明摆着在消耗我的带宽和系统资源。

另外就是比较要命的员工的BYOD行为，到处插拔U盘，带自己的手机或者平板连入网络，很多用户都是“小白”级别的，这个本身也是一个非常大的问题，这方面个人认为要结合国情，采用行政的力量比较有效（扯到哪里去了。。。）


2、期待下一代防火墙能够解决什么样的问题
传说中的Next Generation Firewall应该能够具有自动学习能力，至少对DDOS防御应该提升一个智能级别。防火墙不能只是3层或者4层防火墙，应该对应用层有所感知，单纯的屏蔽IP或者端口根本无法解决逻辑上的攻击问题（其实我已经怀疑这是不是防火墙该做的工作了，应该是IDS或者IPS该做的，既然是对下一代防火墙的期望，我都算进去吧）。

我看了下一些百科介绍的下一代防火墙，其中一个就是基于云的信息过滤，理论上单点采集的信息是有限的，如果能够将一些具体内容无关的数据传输到云中心，实现云端统计和分析，应该能够进行在线识别。

另外下一代防火墙最好能够开放足够多的API接口，和其他的安全系统相配合，将抓取到的数据实时的传输到其他系统进行联动分析。

简单来说，希望NGF能够解决应用层的问题，直接把7层问题一带而过。

liuweiaifeng

如果安全方面要借助于相关的设备，这个也不是完全的十全十美，任何设备，都会有相应的bug，只要加以时间，都会被发现和攻破的。最主要的着重点还是要从内部来看。要有完善的安全机制。内部的隐患要大于外部。