說(shuō)到網(wǎng)絡(luò)攻擊，很多運(yùn)維人員都撓頭。這駭客說(shuō)來(lái)就來(lái)，很少提前打招呼，還是需要找個(gè)反入侵的系統(tǒng)。這反入侵系統(tǒng)種類(lèi)繁多，功能各有特色。比如IPS，就與大多數(shù)IDS系統(tǒng)的被動(dòng)工作方式不同，入侵防護(hù)系統(tǒng)傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。那如何挑選一款適合單位的入侵防護(hù)系統(tǒng)呢?什么樣的才能解決自己所遇到的問(wèn)題?

本文主要探討挑選入侵防護(hù)系統(tǒng)時(shí)需要注意的問(wèn)題和事項(xiàng)。

Q：請(qǐng)問(wèn)，如何構(gòu)建適合企業(yè)的入侵防護(hù)系統(tǒng)呢?

A：這個(gè)問(wèn)題很大的, 通常先了解自己的網(wǎng)絡(luò)應(yīng)用, 再分析比較各個(gè)產(chǎn)品廠商,最好找到類(lèi)似的企業(yè)案例應(yīng)用參考;最后當(dāng)然實(shí)踐出真知,上線測(cè)試一下,如果可以再模擬攻擊一下,看好不好用。

Q：主動(dòng)防護(hù)一般主要是哪幾種形式?假如遭到惡意攻擊時(shí)應(yīng)采取怎樣的應(yīng)急措施?

A：根據(jù)不同的廠家和技術(shù), 可以reject , drop , reset 連接等;遭到惡意攻擊如果不是性能上的, 可以防火墻或之前的訪問(wèn)控制上直接加黑名單阻斷,如果是DOS或DDOS, 在你的日志上有攻擊源地址, 你可以找你的接入商要求封掉該地址對(duì)你的連接,或者從網(wǎng)絡(luò)等方式找到該地址的所有維護(hù)者,通常是某些IDC里托管的機(jī)器,可以聯(lián)系該IDC管理員,出示證據(jù),解釋清楚, 通常管理員會(huì)斷哪個(gè)肉雞的網(wǎng)再通知哪個(gè)所有人,起碼我之前這樣作過(guò)。

Q：學(xué)網(wǎng)絡(luò)安全并不是很好，我想問(wèn)下，如果把所有的漏洞都補(bǔ)齊，黑客還能入侵我們的操作系統(tǒng)嗎?如何發(fā)現(xiàn)自己的系統(tǒng)被入侵了?入侵檢測(cè)系統(tǒng)，檢測(cè)的哪種行為算是被入侵?

A：漏洞都補(bǔ)齊(只是理論上,沒(méi)有哪個(gè)廠家宣稱(chēng)自己沒(méi)有任何弱點(diǎn)) ,也可能被侵入;比如你的系統(tǒng)已經(jīng)把所有的想象到的補(bǔ)丁都打了, 但你上網(wǎng)訪問(wèn)某些網(wǎng)站,說(shuō)要下載某個(gè)運(yùn)行軟件, 你同意了, 或者根本就是混在其他應(yīng)用里下來(lái)的, 是你主動(dòng)連接下載的, 那就沒(méi)有用;所以通常IPS就是,等你人為的犯錯(cuò),它也是可以起到一定防護(hù)作用的入侵檢測(cè)系統(tǒng)，檢測(cè)的哪種行為算是被入侵?要看它的策略定義了。

Q：個(gè)人比較頭疼被入侵的問(wèn)題，公司業(yè)務(wù)已經(jīng)被入侵過(guò)多次，包括webshell、掛馬以及DDOS流量攻擊，打擊很大，但是一直也沒(méi)找到讓人踏實(shí)好用的方法解決掉這些問(wèn)題，趁此機(jī)會(huì)請(qǐng)教兩位安全方向的大師，對(duì)于做互聯(lián)網(wǎng)行業(yè)的公司，其公網(wǎng)服務(wù)器的保護(hù)該做哪些方面的安全措施?哪些設(shè)備對(duì)這些方面的防護(hù)效果會(huì)比較好?

A：通常來(lái)說(shuō).公網(wǎng)上的服務(wù)應(yīng)用,首先建議要用不是那么知名的漏洞很多的那些應(yīng)用軟件,其次系統(tǒng)加固一下,把系統(tǒng)缺省啟動(dòng)的那些不用的應(yīng)用和端口都關(guān)掉,能修正的補(bǔ)丁用上,帳戶(hù)密碼就不用說(shuō)了, 不要上來(lái)Root 權(quán)限就可以直接連接,怎么也得用低級(jí)帳號(hào)登陸再在需要時(shí)候切換哪;之后前面最少有防火墻做訪問(wèn)限制,只開(kāi)放對(duì)外的端口和應(yīng)用,對(duì)那些維護(hù)類(lèi)的如telnet / ssh / ftp等在防火墻上最好作好日志記錄, 能有先一步的認(rèn)證機(jī)制或VPN連接就更好了,之后如果可以,再放個(gè) IPS , 針對(duì)你的應(yīng)用重點(diǎn)防御; 你覺(jué)得防護(hù)作的差不多了, 找個(gè)知名的攻擊類(lèi)探測(cè)掃描器的廠商,針對(duì)性攻擊嘗試一下,如果還有漏洞就再補(bǔ)。

Q：我們公司最近也在做入侵防護(hù)系統(tǒng)的選型工作，但是面對(duì)市面上那么多品牌和型號(hào)的IPS產(chǎn)品，我們?cè)撊绾芜x擇呢?需要考慮哪些技術(shù)指標(biāo)呢?

A：這個(gè)要多查些網(wǎng)絡(luò)對(duì)比評(píng)論的文章了.通常選擇的指標(biāo), 性能方面有加載檢測(cè)防護(hù)策略條件下的吞吐量, 時(shí)間延遲,最大并法容量,新建連接能力等, 硬件上有Fail-open卡,電源風(fēng)扇磁盤(pán)存儲(chǔ)的冗余等, 軟件功能有檢測(cè)項(xiàng)目的數(shù)目,測(cè)試的誤報(bào)率和漏報(bào)率,管理界面的友好度, 統(tǒng)計(jì)分析報(bào)表等。

Q：一般的中小企業(yè)有上這種產(chǎn)品的必要嗎? 一般的防火墻,路由器,交換機(jī)的基礎(chǔ)架構(gòu)再上這個(gè)是否會(huì)減低網(wǎng)絡(luò)的傳輸效率? 這和反病毒,UTM類(lèi)的安全產(chǎn)品具體有什么不同?

A：中小型企業(yè)從安全的角度看, 也有需要, 但要看在安全方面的投資;安全和應(yīng)用有的時(shí)候是有些矛盾的, 安全控制的越厲害, 用起來(lái)就有慢啊等不方便的地方, 但安全是一種需求,甚至是制度要求, 該要的還是要部署;安全產(chǎn)品類(lèi)型很多了，防火墻, IPS , 防病毒等是不同的方面, 不能互相徹底替代的。

Q：在以linux搭建服務(wù)器的中小企業(yè)在安全方面有什么地方注意的，是不是使用linux的系統(tǒng)出現(xiàn)安全問(wèn)題的可能性要比window少一下呢?

A：按個(gè)人經(jīng)驗(yàn),linux會(huì)少些問(wèn)題;但不要忘了,linux也是很普遍應(yīng)用的系統(tǒng),上面的很多缺省服務(wù)也是有名的漏洞多;所以用linux注意要關(guān)閉不用的服務(wù)和端口,還有 root和其他系統(tǒng)用戶(hù)之間的轉(zhuǎn)換,與目錄文件權(quán)限。

Q：請(qǐng)問(wèn)：有5臺(tái)win2k3 服務(wù)器，主要應(yīng)用web ; mssql;mysql; mail ;每個(gè)服務(wù)器大致有200個(gè)左右制作質(zhì)量層次不齊網(wǎng)站(客戶(hù)測(cè)試的)，導(dǎo)致資源負(fù)載過(guò)大?；蚪?jīng)常有掛馬發(fā)生，或者某個(gè)網(wǎng)站線程死掉無(wú)法打開(kāi)。還有就是攻擊某個(gè)網(wǎng)站，導(dǎo)致整個(gè)服務(wù)器打不開(kāi)如何有一個(gè)好的方案對(duì)服務(wù)器進(jìn)行優(yōu)化。能對(duì)上述問(wèn)題有好的解決或者控制購(gòu)買(mǎi)軟硬件可建議一二。

A：這個(gè)不是IPS就能解決的，需要提升系統(tǒng)設(shè)備性能, 做系統(tǒng)加固;最好通過(guò)虛擬機(jī)分開(kāi),不要所有應(yīng)用都掛在一個(gè)系統(tǒng)里;然后才是前面IPS針對(duì)主要應(yīng)用進(jìn)行針對(duì)性防護(hù)。

Q：請(qǐng)問(wèn)專(zhuān)家，IPS系統(tǒng)是否具有蜜罐的功能?如果攻擊者采用DDOS攻擊，那么是否能夠有什么有效的措施阻止該類(lèi)攻擊??

A：部分品牌有,通過(guò)分類(lèi)后將DOS類(lèi)型的攻擊數(shù)據(jù)流導(dǎo)引開(kāi);原則上DDOS是沒(méi)有特別好的方法阻止的, 你在被動(dòng)的接受,只有提升系統(tǒng)設(shè)備性能和檢測(cè)判決的精度,還有聯(lián)系上層接入商,從上層封殺DDOS的肉雞地址。