安全防护的那些糟心事儿--快来吐槽获赠小礼品！（获奖名单已公布-10-24）

send_linux

获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-4102936-1-1.html

随着云计算，大数据，移动互联时代的到来，大量新型的网络应用不断涌现，这些新应用在提高生产效率和生活便利的同时，也带来了许多新的安全威胁，比如手机病毒、手机僵尸网络、恶意软件入侵、网络带宽消耗、机密资料外泄等。而另一方面，对于广大的网络工程师和管理人员来说，在新的安全威胁面前，无论是传统防火墙还是统一威胁管理设备(UTM)，都已远远不能满足用户对自身网络的安全防护诉求。

遇到各种各样的网络安全问题，在威胁着我们的生活还有我们的业务安全。欢迎大家参与我们本期专家坐堂活动，您只要按照下面的要求，提出您所遇到的问题，或者给出您的想法，就有机会获得各种小礼品哦！

本期话题：
1、说说您眼下所遇到的安全防护的那些糟心事儿
2、期待下一代防火墙能够解决什么样的问题

本期嘉宾：
黄海，绿盟科技产品推广经理，在防火墙，抗DDoS产品等多款网络安全产品的研发和营销领域拥有超过5年经验，对网络安全解决方案有丰富的研究经验。  
论坛ID：theyellowsea

活动时间：2013.8.28-9.18

活动要求：
1、 要言之有物，不能低于20个字
2、 本次话题主要关注安全防护和下一代防火墙相关的问题，其他问题可能不做重点
         
讨论有奖：
1、评选出5位积极参与话题讨论的网友奖励差旅移动收纳盒一个
2、从所有网友中抽取5名网友，获赠精美钥匙扣件一个

奖品信息：
           收纳板                                              钥匙扣


更多活动，欢迎关注ChinaUnix官方微信！

Shell_HAT

1、说说您眼下所遇到的安全防护的那些糟心事儿

我所经历过的：
（1）来自内部的安全威胁远远高于来自外部的：人为操作失误、权限管理不严格（很多人共用root账号，DBA权限很多人都有）、弱口令等等
（2）来自外部竞争对手的DDOS
至于网上热火朝天的棱镜啊，黑客攻陷了ATM、心脏起搏器、汽车电脑系统啊什么的，赶脚暂时跟我的生活、工作没有一毛钱关系。

2、期待下一代防火墙能够解决什么样的问题

上一代防火墙主要工作在网络层、传输层，下一代防火墙要向应用层推进。防火墙成败的关键因素有两个：一个是全面的特征库，另一个是特征库的及时更新。

下一代防火墙可以借助云存储解决海量的特征库的容纳问题，可以借助云计算解决海量的特征码匹配的性能开销及延时问题，以及特征库的实时更新问题。

另外，在智能主动防御方面，下一代防火墙可以借助大数据挖掘，把上一代防火墙的被动检测变成主动防御。

laputa73

前2天cn dns被ddos.
不知道前面的防护设备性能如何
据说几十万肉鸡攻击,占满300M带宽
每s请求数估计能上百万了吧

spark8103

弱口令，漏洞，还有配置操作失误等等。
要做好安全审计，做好安全定期扫描，才可以防护。
安全是个大问题啊！

theyellowsea

Shell_HAT 发表于 2013-08-28 10:24
我所经历过的：
（1）来自内部的安全威胁远远高于来自外部的：人为操作失误、权限管理不严格（很多人共用 ...

确实如这位网友所说，当前很多内部管理上的问题需要为安全问题直接负责，这需要很多单位建立完善的安全管理体系，而过去传统防火墙在用户权限管理这方面实现的非常粗糙，基本无法为此提供足够的帮助。而下一代防火墙所强调的基于用户管理的理念可以帮助我们很多管理人员对内网的很多访问行为作出更加严格和有效的限制。
而安全云也正成为下一代防火墙的一个发展方向，像我们绿盟科技的防火墙已经可以实现URL的云查找，多达上亿的一个URL信息库只可能在云端进行存储和查找，这样在存储的投资和查找的效率上都将是最佳的。

dchszsz

前端带来的危害，针对用户的攻击，交互带来各种XSS，csrf。还有程序眼马虎带来的注入，主要是数字型的那种。。

theyellowsea

laputa73 发表于 2013-08-28 12:47
前2天cn dns被ddos.
不知道前面的防护设备性能如何
据说几十万肉鸡攻击,占满300M带宽

CNNIC一直在使用自研的防护设备，而且出口带宽不大。DDoS攻击要么瘫痪服务器，要么阻塞带宽。对于第一点来说，我们认为CNNIC应该有能力应付，但是第二点他们可能就有点无能为力了，而且上G的攻击对于很多攻击者来说真的不算难，这块可能需要在运营商端来寻求帮助，或者通过镜像的部署来缓解压力。从DDoS防护方案来讲，想要解决第二个问题，一些厂家会提供高低端设备的联动方案（如arbor的APS和TMS的联动，绿盟的WAF和ADS联动），服务提供商自己也可能采用CDN的流量缓解方式（Cloudfare处理攻击时用到过）。

wenhq

CN被DDOS主要原因是DNS 攻击吧。
现在很多CC攻击让很多管理员头疼。
不知道未来的fw能否在这个方面有所强化。。。期待。

chenyq83

1、管理制度，并且要实实在在的落地
为影响集团的安全口号，现在各地运营商都有在做这块的东西，但是都是很难落地
这是一个较为漫长的过程

2、技术，安全防御设备 + 制定严密的安全策略  

theyellowsea

wenhq 发表于 2013-08-28 20:35
CN被DDOS主要原因是DNS 攻击吧。
现在很多CC攻击让很多管理员头疼。
不知道未来的fw能否在这个方面有所强 ...

你说的确实是个问题，当前DDoS攻击目标绝大部分是WEB服务器，但是针对DDoS攻击，我们更加推荐专业抗DDoS产品，因为从内部实现来看，防火墙产品的报文处理流程要比DDoS设备长很多，最终会导致FW在DDoS防护性能上要比专业抗DDoS设备要低，而DDoS攻击又经常是大流量出现，往往还会是小包攻击，这样对系统的压力就可想而知了。而如果你只关心一些高级的应用层DDoS攻击，我建议可以考虑下WAF设备，我们绿盟的WAF设备已经集成了CC攻击的防护功能，而且对于其他的一些攻击也能起到很好的防护效果。