綜合利用
從供應商架構中的DDoS減弱方法用於網絡維護的防火牆和入侵防御(IPS技術再到用於應用層保護的Web應用防火牆還有用於維護文件系統完整性的內容完整性監控系統(CIMS最後是為各種平安和服務器組件提供日志信息的日志管理系統(LMS不過要想擁有一個可以實時監測平安威脅並具備安全適應性的平台恐怕還任重而道遠
這種防御機制下深層防御是指用一系列防御機制保護電腦如果其中一個失效那麼其他維護方法還可以發揮作用偏重實用的深層防御安排案例例證整合了現有的技術和高效的綜合型企業網絡安全架構
環境
讓我先考慮下面這個常見的企業IT裝置情境許多企業出於不同的原因使用第三方托管架構服務通過外部托管為了說明如何安排深層防御企業有能力利用保守空間或能源模式在托管服務供應商租借一個安全的環境同時又可以對系統進行自主管理或者他也可以從供應商那裡購買托管服務這其中包括網絡系統和安全服務這些環境旨在托管企業中可被公眾訪問的系統其范圍涉及郵件公司用戶文件傳輸服務企業電子商務平台
平安都在環境設計中扮演著重要的角色設計此類環境平安的一種典型方法是利用網絡這樣討論的目的於讓我設想企業將自己的電子商務平台托管到這樣的環境中電子商務平台包括Web層級不管是租借的還是托管型部署這些層級就好像是各種交易的傳輸工具或支付網關一樣中間件和數據庫層級起支持作用這樣的設計要求把每個層級都托管到合適的網絡也就是虛擬局域網或VLAN用過濾設備如在平安性較低的界面使用帶有Web服務器的防火牆等便可以完成這一任務而中間件和數據庫層級要托管到平安性較高的界面而且不能從公共網絡直接訪問中間件和數據庫層級某些設計情境中中間件和數據庫層級位於相同的防火牆界面之後只不過位於不同VLAN上此類情境中兩個層級之間不存在流量過濾除非交換機強制要求進行過濾
這類案例中的防火牆就好像是防御互聯網威脅的最基本屏障會將這樣的環境作為安排深層防御戰略(使用現有平安技術)基線
切實可行的深層防御
可以依照不同企業的具體需求分別對待筆者想到一個為上述環境安排平安安排平安方案的好方法
第二個組件主要通過已知的流量行為來減輕攻擊(例如深層防御的第一步是供應商網絡架構中的企業環境外強制部署該技術組件主要負責維護環境免受分布式DDoS攻擊DDoS攻擊緩解技術一般包括兩個組件第一個組件主要通過監控普通流量中的異常行為來檢測攻擊威脅管理系統或TMS
因此可以減少鏈接飽和的風險和增加的帶寬本錢DDoS維護通過邊境網關協議(從中心路由設備到DDoS清理中心)實現瞬時的流量分離最有效的DDoS減緩時通過供應商的架構實現
但是托管環境中防火牆可以有效阻擋特定網絡威脅端口對互聯網敞開HTTP/TCP和HTTPS/TCP其有效性受到局限這樣的環境中最好是用Web應用防火牆設備來增大防火牆
如跨站點腳本攻擊Web應用防火牆主要被用來保護環境免受針對應用的攻擊SQL注入和參數篡改等這些設備都是通過托管環境中防火牆和核心網絡交換機之間的物理連接來配置一個Web應用防火牆就像是一個橋接設備可以在應用層攔截那些與已知攻擊向量流量的特征相符合的數據流當硬件啟動失效的時候也不能被打開所以它能確保流量繼續流向Web服務器一些Web應用防火牆供應商也提供數據庫的監控和保護服務這些服務可以掌控通向數據庫的威脅維護是通過代理強制安排而代理通常被安裝在托管數據庫的服務器上
因此它對以網絡為中心的攻擊不能進行有效攔截如互聯網蠕蟲一個Web應用防火牆可用來配合入侵防御系統由於Web應用防火牆一般關注的都是發生在應用層的攻後者主要是對網絡層上完成基於簽名的修復這些設備在內聯容量中整合了防火牆而它離開防火牆的同時會攔截威脅因此可作為模塊使用
對於有效地深層防御而言隨著我進一步接近服務器平台抵抗惡意威脅和監控文件系統的任務顯得尤為重要可以結合主流反病毒/反惡意軟件和內容完整性監控系統來實現這一任務其中內容完整性監控系統可以實時追蹤文件系統發生的更改並發出警告
該系統就好像是單獨平安組件的日志存取器除了可以用作保守服務器的日志存取器將所有的嘗試結合在一起就可以實現集中式日志管理系統一個日志管理系統還可以在預置的事件過濾器上生成實時警告而且還能為各種安全組件的日志數據提供靈活的搜索界面另一類名為安全信息和事件管理的系統則在日志管理中具備根可被用來代替日志管理系統平安信息和事件管理系統擴展了日志管理系統的功能因為它還可以提供智能的威脅分析與減弱威脅的功能
From:http://tw.wingwit.com/Article/Common/201311/5849.html
