互联网出口安全解决方案.docx
《互联网出口安全解决方案.docx》由会员分享,可在线阅读,更多相关《互联网出口安全解决方案.docx(10页珍藏版)》请在冰豆网上搜索。
互联网出口安全解决方案
第1章
需求概述
1.1背景介绍
随着云计算、物联网技术的成熟,云计算开始大规模应用,越来越多的业务系统逐步向统一的数据中心集中,更多的用户通过统一的互联网出口来进行业务的访问。
另一方面,许多时候为了提高整网安全性,也在进行统一互联网出口建设。
在用户侧和数据中心侧发生的变化,都使互联网出口的建设由分散出口模式转变成为统一互联网出口模式。
互联网出口建设模式的变化,给出口建设带来了很大的改变:
一方面,网络规模成倍增加。
分散建设出口时,出口的用户局限于一个或者几个分支,用户数量有限,出口带宽也有限。
然而在统一互联网出口之后,通过出口访问互联网的用户成倍增加,网络规模类似于城域网,出口带宽倍增。
对于大型机构或公司,可达到10G甚至更高。
集中的访问请求同时也使得出口的重要性和稳定性要求大大提高,一旦出现故障将造成大范围的影响。
因此,统一互联网出口建设不但要提供更高的网络性能,同时还必须要保障不间断的网络服务,以满足高峰期用户的访问需求。
另一方面,随着数据的大集中,需要对更多的业务进行集中管理,而互联网出口作为外界对内部业务访问的唯一入口,如何保障业务的安全性也是互联网出口建设的重中之重。
在新的IT建设纪元,越来越多的IT服务从原来的“尽力而为”转变成为“体验至上”,用户的使用体验越来越重要。
统一互联网出口之后,网络管理员从简单的网络管理转变为网络运营,需要对所有分支的用户提供服务,这种角色的转变,使得网络管理员需要更多的关注用户体验。
因此,统一互联网出口建设需要在改善用户体验,提供针对性的安全防护等方面进行更多的考虑。
1.2现状说明
补充客户现有的拓扑情况、今年建设目标、原来出现的问题等现状。
1.3需求分析
1.3.1对外发布业务安全
此部分需要对客户具体场景中需要防护的服务器进行针对性的分析,下文仅作参考。
随着互联网的发展,企业业务在不断的对外开放,包括对外门户网站,企业办公OA系统,邮件系统,在线订单管理,网上办事系统等等。
业务的开放在带来便捷的同时也引入了新的安全风险,特别是现在很多业务系统都是基于B/S架构的Web应用系统,Web业务不断更新,大量web应用快速上线。
而由于资金、进度、意识方面的影响,这些Web应用系统没有进行充分的安全评估从而产生大量可利用漏洞。
当前互联网出口对外发布业务可能遭受到的风险主要来自于以下几个方面:
1.业务服务器自身存在的漏洞被黑客利用产生攻击,操作系统,应用软件或是应用协议都可能存在漏洞,如windows远程桌面漏洞,apachestruts2漏洞,OPENSSL心脏出血漏洞,BASH破壳漏洞等;
2.Web应用层面的安全威胁,如SQL注入攻击,XSS攻击,Webshell上传等;
3.网站管理后台或者个人账户登录系统遭到口令暴力破解;
4.业务服务器上存储的的敏感信息被窃取;
5.对外发布网站内容被篡改;
1.3.2保障终端安全
终端安全也是互联网出口安全建设关注的重点,终端用户是网络资产中的一个重要组成部分,同对外发布业务服务器一样,终端也面临着系统软件层面存在的漏洞被利用风险。
当今互联网上充斥着各种恶意网页,钓鱼网站,而每个终端用户的安全意识不尽相同,容易被一些虚假信息所蒙蔽,点击了包含恶意软件下载地址的链接导致终端被种植了远控木马,蠕虫病毒等恶意软件。
病毒、木马、蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、甚至于终端被控制之后形成跳板攻击危害到内部其他更有价值的服务器。
因此针对终端的安全防护主要考虑几个方面:
1.终端自身系统或者应用软件存在的漏洞防护;
2.已知远控木马,蠕虫病毒等恶意软件被种植到终端,形成僵尸主机后的检测识别;
3.未知变种恶意软件威胁的检测与防护;
第2章互联网出口安全解决方案
2.1对外发布业务防护
2.1.1对外服务底层漏洞防护
深信服下一代防火墙可以在互联网出口为对外发布服务器的底层漏洞提供入侵防护功能,所发布的漏洞特征库数量超过4000条,通过CVECompatible认证,并且深信服做为微软MAPP合作计划伙伴,能够在第一时间获取到业界最新的漏洞信息,保证漏洞特征库的时效性和先进性。
2.1.2对外Web应用安全防护
深信服下一代防火墙具备专业的Web应用防护能力,针对互联网出口对外发布业务可以提供安全防护功能主要有:
1.SQL注入,XSS攻击,Webshell文件上传,网站扫描,CSRF,文件包含攻击,目录遍历攻击,系统命令注入等OWASPTOP10Web安全威胁;
2.针对常见网站内容管理系统CMS的安全防护;
3.基于HTTP协议异常检测,缓冲区溢出检测等;
4.服务器版本信息隐藏;
5.Web弱口令检测以及口令暴力破解防护;
6.提供网站管理后台登录二次认证;
深信服下一代防火墙Web应用防护能力获得了开源安全组织OWASP的互联网Web安全威胁TOP10的攻防评测4星评价,为国内安全厂商获得的最高评级。
此外,还通过了国际知名第三方测评机构NSSLabs专门针对Web应用防护能力的评测,并获得”推荐”评价,为国内首家获得该评价的厂商。
这些第三方专业安全机构的认可充分说明了深信服下一代防火墙在Web应用防护能力方面的专业性。
2.2终端安全防护
2.2.1终端未知威胁检测
除了建立恶意软件样本库外,为了能够应对恶意软件的新型变种以及其他未知威胁,深信服下一代防火墙搭建了云安全平台,通过云平台的沙箱检测技术来识别未知的安全威胁。
深信服下一代防火墙能够将检测到的异常流量放到沙箱虚拟化环境中运行,通过监控注册表修改、进程创建、文件系统修改来发现未知威胁。
同时针对新发现的威胁样本生成特征规则库,并通过云安全平台推送到所有接入互联网的深信服下一代防火墙设备上。
2.2.2终端僵尸网络检测
深信服下一代防火墙独有的僵尸网络检测隔离功能,能够实时对终端主动发起的外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。
该功能利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。
僵尸网络识别库数量超过50万条,并由深信服攻防团队实时更新。
2.3威胁情报与应急响应
随着互联网的蓬勃发展,国内外的黑客事件不断进入我们的视线,2014年的Bash破壳漏洞、心脏滴血漏洞等重大安全事件震惊了整个互联网,层出不穷的0Day漏洞以及各类安全事件盛行当今网络,严重威胁着企业的业务安全和数据安全。
传统基于”防御”为核心的安全理念在面对新型攻击威胁的时候显示被动和力不从心,目前国际上新型的安全防护理念是以威胁情报的获取以及快速响应为发展方向,正因为如此,深信服下一代防火墙推出了威胁情报预警与处置功能,专门设立了威胁情报预警与处置中心。
该中心能够及时推送最受业界关注的热点安全事件,在安全事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案,令用户可专注于自身业务,无需时刻关注互联网是否出现新的重大安全事件,并可通过威胁情报中心了解到近期的安全时势动态。
当发生重大网络安全事件时,用户无需再为每台服务器、网络设备进行漏洞验证和补丁升级,深信服威胁处置中心可自动对被保护对象进行扫描检测、对扫描发现的威胁提供一键防护,用户只需按动一键防护按钮,设备即可自动生成针对所有被发现的威胁的防护策略。
深信服安全中心实时跟踪互联网热点安全事件并进行公告,在这里可以了解到漏洞详细介绍以及应对处置方法。
威胁预警与处置中心会将最新发现的漏洞威胁同步推送到设备端进行预警。
推送的预警信息中包含了对漏洞的检测工具和对应的攻击防御特征规则,用户可根据预警提示展开自查,并根据自查结果一键生成防护策略。
2.4实时漏洞分析,定位有效攻击
深信服下一代防火墙提供的实时漏洞分析功能,可以根据经过设备的业务流量分析其中是否存在漏洞。
通过结合针对已知漏洞发起的攻击日志来定位对业务服务器能够真正产生威胁的有效攻击。
2.5基于业务/用户的安全运维
面对数据大集中,多业务运维场景,深信服下一代防火墙还提供强大的综合风险报表功能,首先能够帮助用户从当前发现的漏洞数量和检测到的攻击为网络整体安全情况进行一个风险评估,并给出当前网络安全环境的评级。
其次综合风险报表从业务和用户两个维度对进行详细分析,按照受攻击类型、漏洞类型和威胁类型进行统计分析,并根据每个业务对应的服务器IP进行针对性的安全分析,提供相应的服务安全说明,使得报表的可读性更高,方便用户从报告中分析出下一步的安全加固策略。
升级会员 