安全防护的那些糟心事儿--快来吐槽获赠小礼品！（获奖名单已公布-10-24）

theyellowsea

Shell_HAT 发表于 2013-08-28 10:24
我所经历过的：
（1）来自内部的安全威胁远远高于来自外部的：人为操作失误、权限管理不严格（很多人共用 ...

确实如这位网友所说，当前很多内部管理上的问题需要为安全问题直接负责，这需要很多单位建立完善的安全管理体系，而过去传统防火墙在用户权限管理这方面实现的非常粗糙，基本无法为此提供足够的帮助。而下一代防火墙所强调的基于用户管理的理念可以帮助我们很多管理人员对内网的很多访问行为作出更加严格和有效的限制。
而安全云也正成为下一代防火墙的一个发展方向，像我们绿盟科技的防火墙已经可以实现URL的云查找，多达上亿的一个URL信息库只可能在云端进行存储和查找，这样在存储的投资和查找的效率上都将是最佳的。

theyellowsea

laputa73 发表于 2013-08-28 12:47
前2天cn dns被ddos.
不知道前面的防护设备性能如何
据说几十万肉鸡攻击,占满300M带宽

CNNIC一直在使用自研的防护设备，而且出口带宽不大。DDoS攻击要么瘫痪服务器，要么阻塞带宽。对于第一点来说，我们认为CNNIC应该有能力应付，但是第二点他们可能就有点无能为力了，而且上G的攻击对于很多攻击者来说真的不算难，这块可能需要在运营商端来寻求帮助，或者通过镜像的部署来缓解压力。从DDoS防护方案来讲，想要解决第二个问题，一些厂家会提供高低端设备的联动方案（如arbor的APS和TMS的联动，绿盟的WAF和ADS联动），服务提供商自己也可能采用CDN的流量缓解方式（Cloudfare处理攻击时用到过）。

theyellowsea

wenhq 发表于 2013-08-28 20:35
CN被DDOS主要原因是DNS 攻击吧。
现在很多CC攻击让很多管理员头疼。
不知道未来的fw能否在这个方面有所强 ...

你说的确实是个问题，当前DDoS攻击目标绝大部分是WEB服务器，但是针对DDoS攻击，我们更加推荐专业抗DDoS产品，因为从内部实现来看，防火墙产品的报文处理流程要比DDoS设备长很多，最终会导致FW在DDoS防护性能上要比专业抗DDoS设备要低，而DDoS攻击又经常是大流量出现，往往还会是小包攻击，这样对系统的压力就可想而知了。而如果你只关心一些高级的应用层DDoS攻击，我建议可以考虑下WAF设备，我们绿盟的WAF设备已经集成了CC攻击的防护功能，而且对于其他的一些攻击也能起到很好的防护效果。

theyellowsea

瀚海书香 发表于 2013-09-02 08:38
@theyellowsea DDOS攻击有解吗？貌似这种只能在运营商那里搞吧，所谓的硬件设备都是浮云吧

看情况啦，之前说过，DDoS攻击主要有两种目的，第一种是搞瘫服务器，第二种是把网络阻塞。其中第一种一般是在被攻击服务器前端防护会更好一点，因为在部署方式上，抗DDoS设备可以选择串行或者旁路逻辑串行的方式，这样对很多应用层攻击能做到快速检测和响应。那在运营商那里呢，抗DDoS设备一般都是旁路部署+动态引流，这个时候攻击的响应时间上会有问题，检测准确率上会有不足，但是应对第二种攻击目的会更加等心应手。如果要做完整的防护方案的话，最好还是在网络出口位置和运营商那里都有抗DDoS的能力，平时以网络出口的防护为主，在大流量攻击出现后求助于运营商来进行解决。

theyellowsea

forgaoqiang 发表于 2013-08-29 23:42
1、说说您眼下所遇到的安全防护的那些糟心事儿
这个事说起来能说个3天3夜，各种蛋疼的问题，主要面对的就是 ...

1、就如各位网友所说的，安全防护这事儿确实是无法单靠几台设备来解决的，实际上需要在管理方面下更大的力气，需要对员工的很多行为作出限制和管控才能解决很多从内网爆发的安全问题。同时安全日志的归并和筛选也是一个问题，现在攻击变的越来越多，很多低层次攻击者往往用几个软件就开始为所欲为，最终导致的是很多安全设备上上报了大量日志，很多时候会埋没重要信息，这方面需要一套更加有效的安全管理中心或SOC软件来提供帮助，但从效果上来看，也顶多做到缓解，并不会完全解决问题。但这个网友所说的WEB服务器被爬，SSH被不断破解这事儿可以依靠WAF设备或者指定多次登录失败后的处理手段来进行缓解，效果应该比日志的那个问题稍好些。

2、这位网友说的好，对应用的识别和管控就是下一代防火墙的一个关键能力，这块也不能说是抢了IPS或IDS的功能，实际上未来的发展是在很多中小企业上提供集成度更高的安全解决方案，原有的多套设备提供孤立的安全能力的情况与很多小企业的资金状况不匹配。在这种情况下，在中低端的市场上会出现安全功能的融合，也就是现在的下一代防火墙，从功能上看，它其实继承了传统防火墙，IPS，上网行为管理等设备的很多功能。在技术实现上，它又摒弃了UTM式的简单集成，采用了一体化的高性能实现。可以说下一代防火墙的出现是在应用发展的大趋势下对用户市场所做的一种适应。
至于你说的云中心和API开放的事情，其实也不单单是下一代防火墙需要有的，未来的趋势就是开放，互通，通过大量信息的整合来提供更加完善和快速的安全响应。这块其实再说多点就是安全设备的协作，云安全或SDN之类的方案，在云安全和安全协作这块我们绿盟已经有一些成型的安全产品和方案了，SDN这块也在研究和跟进当中。如果这个网友有兴趣可以在168文库上搜索绿盟科技的下一代安全研究报告，估计会和你的很多想法相互印证。

theyellowsea

七彩饭饭 发表于 2013-09-02 16:19
现在系统数据的安全基本从技术和管理两大方面来考虑，且越来越明朗了。
一方面建立完善的管理制度体系，并 ...

其实硬件设备一方面为安全管理体系提供支撑，一方面它们本身又受限于管理体系，很多漏扫设备实际上都可以用来对网络硬件设备进行扫描，绿盟科技的产品在出厂前都是要经过这一步验证的。同时攻防的演练也可以对网络设备提供的安全能力和自身的安全性进行评估。至于如何购买符合自身需求的网络设备，这实际上是个比较大的问题，关键的步骤是确定你的需求，再根据你的需求设定标准和规格，然后根据标准进行选择，必要的情况下需要进行测试，现在很多安全厂家会在一些指标和功能上标注很多水分，这个时候对我们的安全管理人员来说确实会造成一定的麻烦。当然一个安全设备的采购并不是这里能马上说明白的，还有很多事情需要根据每个客户的不同情况来分别考虑。

theyellowsea

wuchou55 发表于 2013-09-01 05:20
1：所经历的糟心事：现在随着社会技术的进步，会出现好多方面的威胁，网站的入侵和挂马，权限的管理不严，人 ...

这位网友说的非常笼统，但却囊括了下一代防火墙发展的精髓，那就是在提高安全性的同时，不断的降低运维复杂，同时保障设备持续可用。现在大家会看到各种下一代防火墙的宣传，特点，很多看起来稍有不同，但它们的设计理念基本都是来源于这种思路。各个厂家的区别其实就是体现在安全性的细节上，易用性的感受上，可靠性的保证上。

theyellowsea

tomer 发表于 2013-09-04 15:41
最安全的防护，就是断网，断电，

还真被这位网友说对了些。Robert Morris有句名言：“确保计算机安全的三条黄金定律是：不要计算机，不开机，不用计算机。”
只是如果真这样的话，屌丝们的夜生活就没法解决了。。人们的生活会倒退的，这是不符合历史发展潮流的。

theyellowsea

jimmy-_-lixw 发表于 2013-09-03 21:49
2、期待下一代防火墙能够解决什么样的问题
目的的ddos攻击，用DDOS防火墙并不是很理想的解决方案。其他打破 ...

彻底解决DDoS攻击问题严格意义上来说是不可能的，当前所有的设备和方案基本上都是在缓解DDoS攻击。其实说大点，当前的安全方案其实都是在做攻击的缓解。没有一家安全厂家能够对客户说100%绝对安全。但是可以在安全投资和攻击损失之间找到一个折中点，这才是安全方案的存在价值。

假如说真的有DDoS防护方案能完全解决DDoS的问题，那么它需要先把带宽扩充到300G以上，因为目前世界上监测到的最大一次DDoS攻击事件共有320G流量，然后再部署一台能够清洗300G攻击流量的抗DDoS设备或通过部署多台镜像服务器来分摊攻击流量再部署一台清洗能力小点的抗DDoS设备。你可以想象一下这个投资，恐怕没人能接受。

另外我不知道你说的DDoS防火墙是什么设备，但是如果一款设备既能抗DDoS又有防火墙的功能，那么可以很肯定的说，它的性能不会好。

theyellowsea

jimmy-_-lixw 发表于 2013-09-05 13:08
回复 1# send_linux

这位网友说的确实是这么个情况。现在码农们水平都参差不齐，导致很多系统存在明显漏洞，而国内的安全管理的落实情况也不是很好。互联网的安全立法状况也不太跟的上。但正是这样，才需要信息安全管理人员体现出更大的价值。