搜索
网络安全设备介绍演讲时间/speaker2018.09.07/wiidi目录01事前检测类产品02事中防护类产品03事后审计类产品Contents目录Contents01事前检测类产品WEB漏扫功能作用周期扫描网站是否存在可被利用的安全漏洞协助用户验证漏洞是否真实存在并可取证报表提供详细完整的漏洞描述和修复建议IT人员Web扫描帮助用户发现网站安全漏洞和提供漏洞修复建议WEB漏扫产品形态软件或硬件WEB漏扫部署方式IP可达即可,根据实际环境需要WEB漏扫选型依据IP地址或域名,限制公网地址和私网地址,或者无限制数据库漏扫功能作用定期扫描数据库是否存在可被利用的安全漏洞协助用户完成数据库建设成效评估协助数据库安全事故的分析调查与追踪IT人员支持主流数据库帮助用户充分了解数据库存在的安全隐患,提升各类数据库的抗风险能力数据库漏扫产品形态软件或硬件数据库漏扫部署方式IP可达即可,根据实际环境需要数据库漏扫选型依据数据库实例数或数据库个数(IP+端口)网站安全监测功能作用帮助网站监管者,通过建设统一的监控平台,对辖区内的大规模网站,实现7*24小时实时网站安全可视化监测和主动预警。缩短应急响应时间,建立通告预警机制,提高事件处置效率。•网站代码漏洞检测•域名安全监测•访问延时质量监测•网页木马监测•暗链监测•坏链、孤链监测•敏感内容监测•篡改监测漏洞检测内容安全监测服务质量监测网站安全监测平台产品形态软件或硬件或服务网站安全监测平台部署方式IP可达即可,根据实际环境需要网站安全监测平台选型依据2、网站页面情况,例如网站图片,网站URL数量,网站监测深度4、出口带宽情况3、监测周期情况,例如漏扫扫描多长时间执行一次,变更监测多长时间执行1、需监测网站总数量注意事项扫描类的产品或多或少都会对现有业务造成影响,有的可能很大,有的可能微乎其微,取决于多种因素,如果说对业务影响为0是不正确的。目录Contents02事中防护类产品抗DDoS原理Internet瘫痪最终服务器阻塞沿途带宽DNS攻击基础网络设施BOT命令命令控制合法使用者DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)DDoS攻击次数和攻击流量呈明显上升趋势。其特点归纳为以下四方面:时间短:30分钟以内攻击居多流量杂:混合型流量攻击成为主流峰值高:单次攻击量可以高达500Gbps频率高:运营商每周面对100Gbps攻击成本低:10Gbps/1h全球流量,境外组织(5k)抗DDoS趋势特点DDoS攻击事件事件2013年3月,欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击,攻击流量峰值高达300Gbps。2015年5月,网易发布公告称遭受网络攻击,导致网易全线业务终断数小时。2015年6月18日,某一电商客户今天早上八点到九点遭遇一次峰值为171Gb/s的DDoS流量攻击,攻击持续了30分钟。2015年6月29日下午知名IT社区开源中国社区发布公告称其Git@OSC系统遭遇DDoS黑客攻击,因此被机房封禁IP,导致业务下线。2015年7月22日,腾讯云机房遭遇了黑客持续、大流量的DDoS恶意攻击,攻击峰值接近300G2015年8月1日上午,中国公路网遭到了大规模的DDOS攻击,攻击者不停地发送大量数据包造成网络资源耗尽,被迫关闭。2014年12月10日,国内运营商DNS网络DDoS攻击事件,某省攻击流量峰值高达6Gbps。DDoS攻击产业制造、控制,培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训地下黑客攻击网络异常流量清洗解决方案抗DDOS攻击检测业务管控攻击缓解业务部署业务开通业务监控报表分析发现异常发送告警激活防护流量疏导攻击过滤流量回注抗DDoS产品形态软件或硬件或服务串联部署方案服务器设计目标部署要点•零安装,零配置,即插即用•网络隐身,无IP地址配置•少量服务器•小型网络•防火墙WANWAN路由器交换机不足•单点故障•网络拥塞•规模受限该部署方式通常用在较小的业务流量、部署在业务系统前针对其直接进行防护的场景。旁路部署流量清洗部署方案异常流量探测异常流量防御受保护的服务器12正常流量不受影响通知防御设备,开启攻击防御流量回注3牵引流量,对异常流量进行清洗流量牵引未受保护的服务器受保护的服务器抗DDoS选型依据设备吞吐量,小包防御能力是一项非常重要的指标。下一代防火墙功能作用•软件全流程并行处理,整个过程一次拆包;功能模块化,更强扩展性和稳定性。功能全面——攻击防范和Web安全•传统设备只针对网络层攻击防护,DAS-Gateway可针对网络层和应用层的攻击防护•IPS功能进行Web防护,保护重要服务器免受攻击入侵防SQL注入防跨站脚本攻击防拒绝服务攻击防Web服务器漏洞攻击内容过滤病毒、木马、恶意脚本过滤特定类型文件上传下载限制敏感信息、URL关键字过滤功能全面——病毒防护•病毒查杀全,检测深,识别准。•病毒、木马、蠕虫、后门、间谍软件、恶意程序全面查杀•HTTP\FTP\SMTP\POP3\IMAP等主流应用协议全支持•超过300万病毒特征全库模杀,特征库实时在线更新查杀全•IM传输文件病毒查杀•邮件附件病毒查杀检测深•支持ZIP、GZIP、RAR等,压缩文件无一漏网•压缩壳、加密壳、变形壳多种脱壳算法,加壳病毒无处遁形•支持启发式扫描(未知病毒检测)识别准功能全面——ALLinone流控审计安全可视限制迅雷保障邮件通道带宽借用工作日和周末区分策略……发帖内容邮件内容网页浏览搜索引擎……标准状态防火墙一体化安全策略IPSAVIPsecVPN……用户中心安全策略可视流量可视化统计用户行为轨迹……下一代防火墙产品形态软件或硬件下一代防火墙部署方式串联部署下一代防火墙选型依据用户数、带宽、吞吐量、并发连接数等多个因素考量WEB应用防火墙75%25%现在攻击在应用层过去攻击在网络层Gartner报告:75%的攻击来自应用层传统安全设备应用层防护功能单一,存在系统防护短板WEB应用防火墙过去:破坏瘫痪现在:窃取银行卡个人信息企业信息网站篡改过去的黑客:破坏——技术炫耀现在的黑客:窃取——政治利益、经济利益WEB应用防火墙03全国政府网站24820全国高校5828所全国网站数量526万攻击目标广泛政府网站篡改、攻击政治影响范围大个人信息贩卖企业敏感信息盗取黄牛/羊毛党团队政治/经济利益大0104相对网络攻击难度小服务器漏洞频发Web攻击教程网上随处可见门槛降低扫描器爬虫工具机器人工具漏洞工具工具化/自动化02WEB应用防火墙脱库技术手段社会工程SQL注入、跨站脚本命令注入、弱口令网站后台管理权限漏洞网站逻辑漏洞、非法上传文件、webshell提权Web容器/中间件漏洞……………..内部员工泄密针对员工钓鱼……………..数据库逐层分离支付宝、网银、股票、网游账号……..转换为虚拟货币/其他洗钱渠道洗库出售个人信息姓名/职业/电话/银行卡号/身份证号/社保号/邮箱/住址/爱好/圈子广告营销咨询调研贷款公司垃圾邮件/短信团购商家拿到被爆的多个数据库信息建立“人肉”数据库尝试登陆其他的系统再次洗库撞库WEB应用防火墙Web应用防火墙简称“WAF”,主要致力于提供应用层保护,通过对HTTP/HTTPS及应用层数据的深度检测分析,识别及阻断各类传统网络防火墙无法识别的WEB应用攻击行为数据中心正常的业务访问√WAFWAFSQL注入、XSS、命令注入敏感信息√正常用户恶意用户WEB应用防火墙产品形态软件或硬件部署简单,适用各种复杂环境透明代理、反向代理、旁路监控、桥模式四种部署模式网络防火墙核心交换机接入交换机反向代理透明代理旁路监控WebServer透明代理介绍透明代理部署模式应用于透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。特点:1.不需要更改数据包内容,对于用户网络是透明的。2.防护能力强,可支持WAF绝大部分等功能防护。3.故障恢复快,可支持Bypass网络防火墙WAF交换机WebServer反向代理——代理模式反向代理—代理模式为旁路部署,应用于复杂环境中,如设备无法直接串接的环境。部署时需要在用户网络设备上将域名解析到设备上或将地址映射到设备上。特点:1.对于用户网络不透明。2.访问时需要先访问WAF配置的业务口地址。3.故障恢复时间慢,不支持Bypass,恢复时需要需要重新将域名或地址映射到原服务器。4.支持多台WAF设备VRRP冗余和集群部署。网络防火墙交换机WebServerWAF反向代理——牵引模式反向代理—牵引模式部署为旁路部署,应用于复杂环境中,如设备无法直接串接的环境。部署时不想更变域名解析。特点:1.部署时通过路由器/交换机将访问目的去往服务器的下一跳指向到华为WAF业务IP。2.对于用户网络不透明。3.故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。4.支持多台WAF设备VRRP冗余和集群部署。网络防火墙交换机WebServerWAF旁路监控模式介绍网络防火墙接入交换机旁路监控WebServer采用旁路监听模式,为客户需要WEB审计功能,对WEB日志进行分析和审计,又不希望新上线的设备影响到业务运行特点:1.旁路监听模式部署下只能用于流量分析或日志审计。2.不能实现防护同时也不会影响业务。3.需要交换机配合,镜像业务流量到达WAF业务端口。桥模式介绍桥模式是真正意义上的透明模式,继承了IPS模式的透明工作机制和代理模式的防护能力,串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。特点:1.桥模式是真正意义上的透明,不会更改数据包任何内容,比如源MAC、源端口、TCP序列号、HTTP协议版本等内容。2.桥模式不跟踪TCP会话,可支持路由不对称环境。3.对服务器响应包的内容不检测。4.防护能力不如透明代理,可能会存在漏报现象。网络防火墙WAF交换机WebServer透明代理——HA主备模式介绍透明代理模式的HA主备采用冷备的方式,即在任一时刻,主备的两台WAF只有一台处于工作状态,另一台处于候补状态。当链路发生故障,流量切换到备链路时,处于候补的备机,能够实时切换到工作状态,取代主机的功能,达到防护状态。主网络防火墙备网络防火墙主WAF备WAF心跳线a)两台WAF是通过Web流量来协商主备,有web流量经过的WAF为主设备,而没有web流量的WAF会自动协商为备设备b)HA主备可以实现配置同步c)使用HA口进行心跳检测WebServer透明代理——双主机模式介绍透明代理下的双主机模式两台WAF都处于工作状态,可以认为两台WAF为独立运行的设备,两台WAF可以通过HA口实现配置同步。主网络防火墙备网络防火墙主WAF备WAF心跳线a)两台WAF都处于存活状态,不需要进行协商b)HA主备可以实现配置同步c)使用HA口进行心跳检测WebServer反向代理——主备模式介绍WAF在反向代理模式下可以支持主备模式,正常情况下只有主机工作,备机不工作,当主机业务口出现问题时,备机自动切换为主机进行工作。FWSW主WAF备WAFWebservera)反向代理主备模式采用VRRP协议b)可以实现配置同步c)VRRP的心跳包通信接口:管理口d)VRRP的监控端口:业务口e)必要条件:反代模式,主备机开启VRRP功能,主备机管理口互通。f)主备机正常工作时,主机业务口被分配虚ip,备机业务口无ip,业务流量通过主机转发;WEB应用防火墙选型依据站点数量、HTTP并发数连接、新建连接、吞吐量、纯web流量等因素数据库防火墙功能作用1.实现应用层的准入控制2.数据库漏洞防护3.通过自学习防御越权访问行为4.审计核心操作数据数据库防火墙功能作用数据库防火墙产品形态硬件部署模式-1-透明网关镜像数据库服务区第三方人员数据库管理员应用服务器用户应