网络攻击防御
网络攻击防御概述
-
对于对外提供服务的园区网络,IP资源暴露于互联网,容易遭受DDoS攻击、Web攻击、僵木蠕攻击以及高级可持续攻击,导致网络和服务器资源耗尽、敏感信息泄露、商业信息被加密等威胁。
-
针对互联网的攻击,园区网络通常会在出口部署防御系统,实现攻击防御,常见的防御系统有以下几种。
- C&C(Command and Control,命令与控制)攻击:通过C&C服务器对受害主机进行操控的一种攻击。C&C服务器不仅可以收集被害主机的信息,如操作系统、应用软件和开放端口等,还可以向被害主机发送控制指令,指使它执行某些恶意行为。攻击者也可以将被害主机作为跳板,通过其感染更多网络内的主机,最终由C&C服务器进行统一控制。
DDoS攻击防护
-
在园区出口部署AntiDDoS设备,用于实现DDoS攻击防范,避免因为DDoS攻击引起网络带宽拥塞、安全设备会话及服务器资源耗尽等,确保业务系统的正常工作。
-
华为AntiDDos解决方案由AntiDDoS设备和管理中心两部分组成。
- AntiDDoS设备:由检测中心+清洗中心组成,支持直路部署和旁路部署两种部署模式。
-
检测中心:负责对流量进行检测,发现异常流量后上报管理中心,由管理中心下发引流策略至清洗中心进行引流清洗。
-
清洗中心:清洗中心主要根据管理中心下发的策略进行引流、清洗回注等操作,并记录操作日志上报管理中心。
b.管理中心:SecoManager是AntiDDoS解决方案的管理中枢负责“检测中心”和“清洗中心”的统一化管理,提供设备管理、策略配置、性能监控和告警管理等功能。
- AntiDDoS设备支持“直路部署”和“旁路部署”两种部署模式。
-
直路部署:组网方式较为简单,不需要额外增加接口,且由于防护设备可以实时监控双向流量,在个别攻击防护上会优于旁路部署。但该部署方式会使得所有流量都经过DDoS设备,处理这些流量将耗费大量转发性能,且需要尽可能避免单点故障并减少算法上的误判,这对DDoS防护设备的可靠性要求较高。直路部署时仅部署清洗设备即可,清洗设备部署在网关之后防火墙之前,并且需要串接Bypass卡,保证清洗设备故障时业务流量能够通过,增强可靠性。
-
旁路部署:在组网结构较为复杂的场景下,为了避免设备直路部署可能带来的链路短时中断情况,旁路部署应运而生。相较于直路部署,旁路部署既保证了原有组网不被破坏,同时引入流量流向改变技术,通过引流,回注等一手段控制流量走向,实现对异常流量的精准处理。
- 设备联动:设备联动是指将检测设备和清洗设备通过SecoManager联动起来。检测设备检测到异常流量上报SecoManager,SecoManager下发引流任务至清洗设备,由清洗设备完成引流、清洗和回注。
WEB攻击防护
-
在服务器前部署WAF设备,防范针对Web业务系统开放的HTTP或者HTTPS的端口的攻击,同时防范web攻击导致的数据被窃取和篡改、账号提权、恶意脚本上传、后门安装业务中断等。
-
WAF在网络中的部署方式有以下几种:
-
透明代理:使用透明串接的方式接入网络,该部署方式不需要D改变用户的网络结构。
-
反向代理:由于用户的网络环境比较复杂,网络流量比较大或D者用户不希望采用串接的方式,那么可以采用反向代理的方式,旁挂在核心交换机或者路由器上。
-
旁路监控:客户在部署环境中,采用端口镜像的方式,将连接Web服务器的交换机端口镜像到另外一个端口(该端口连接WAF设备),达到旁路监控的目的。
- WAF还支持以桥模式在网络中进行部署,桥式是真正意义上的透明式,该式中WAF串接在网络中,用户无需更改网络设备与服务器的配置,即插即用。但桥模式下WAF对原始数据包没有拆解,且无法对响应包的处理,导致很多功能无法使用,所以串接部署时,建议使用透明代理模式。
入侵防御
-
IPS入侵防御系统部署在防火墙下游,实时监测网络流量,用于检测恶意代码、僵木蠕、病毒对内网的侵害等,确保业务系统的正常工作。
-
IPS在网络部署方式有以下几种:
-
直路部署:直路部署中IPS使用固定二层接口对透明接入网络上下行设备不用做任何配置调整。当IPS出现故障时,可以快速的将IPS切到Bypass状态保证业务的正常运行。
-
旁路部署:相较于直路部署,旁路部署保证了原有组网不被破坏。通过引流,回注等一系列手段来控制流量的走向,实现对异常流量的处理。
APT攻击防御
-
在网络中部署FireHunter,可以有效弥补传统安全设备基于特征检测技术的不足,有效避免未知威胁攻击的扩散和企业高价值资产信息损失。
-
FireHunter的部署方式有以下几种:
-
防火墙联动部署:防火墙部署在网络出口,提取网络流量中携带的文件发送给FireHunter进行文件威胁检测,防火墙根据检测结果执行对应的安全策略。
-
流量还原独立部署:FireHunter旁路部署在交换机上,独立接收交换机镜像的网络流量,然后进行流量还原,提取其中的文件进行文件威胁检测。
-
HiSec Insight联动部署:HiSecInsight流探针接收并还原交换0机镜像的网络流量,提取其中的文件发送给FireHunter进行文件威胁检测,并将检测结果发送给HiSecInsight集群。
安全态势感知
-
SA(Situational Awareness,态势感知)是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。安全态势感知是指将态势感知的相关理论和方法应用到网络安全领域。
-
华为HiSec Insight高级威胁分析系统通过对网络中的流量及各类设备的日志等海量网络基础数据进行采集和分析,有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知。
-
同时,HiSec Insight会联动网络执行单元(网络控制器和安全控制器)完成安全隔离策略的自动化执行,实现故障闭环。
网络安全运维
传统安全运维不足
- 传统基于指定规则的运维模式已经支撑不了用户对安全的运维需求,体现在以下几个方面:
智能安全运维概述
- SecoManager是一款华为公司针对数据中心、园区、海量分支等不同场景推出的统一安全控制器,提供设备集中管理、策略集中管理、策略智能编排、策略智能运维四个功能,从监控巡检、维护变更、故障处理三个方面提升企业运维效率,从而构建企业网络智能安全运维体系。
设备集中管理
- SecoManager提供设备的统一管理能力SecoManager纳管设备后,支持对设备进行如下操作:
-
单点登录:开启单点登录功能后,SecoManager支0持直接跳转到设备的Web界面。
-
配置管理:通过SecoManager可以配置防火墙双机热备、可以在指定的设备上创建虚拟系统。
-
升级管理:通过SecoManager实现设备的软件管理包括设备版本升级、设备特征库升级。
-
变更操作:SecoManager可以收集设备告警,管理员可以通过告警定位设备问题,对故障设备进行替换。
策略集中管理
- 传统的策略管理需要网络管理员在设备上手动完成,费时费力;SecoManager可以针对安全策略、NAT策略带宽策略对设备进行集中配置。
-
安全策略:配置安全策略对企业核心区域提供全面的安全防护。
-
NAT策略:配置NAT策略用于内外网访问时的地址转换。
-
带宽策略:配置带宽策略对网络或主机带宽的占用进行管理。
策略智能编排
-
传统的设备安全策略配置,管理员必须清楚获悉设备的位置以及流量的走向,在流量途经的设备上进行安全策略的配置。这种人工分析、配置安全策略的方式费时,也容易出错。
-
SecoManager提供图形化界面,提升管理员对安全策略的可视性,大大提高管理员针对设备的安全管理效率。
策略智能调优
- 企业在日常运转过程中,网络及业务变更频繁,每天会产生较多的策略编排诉求,依靠传统手工配置,工作量大,效率低。SecoManager策略调优功能,可识别出设备上配置的安全策略是否存在冗余,并进行策略命中率分析以及策略合规检查,方便用户及时优化安全策略。
日志管理
-
传统基于防火墙安全策略防范,用户无法直观看到防火墙拦截攻击的类型、攻击源以及一段时间内的攻击趋势,不能全面了解业务安全状况。
-
SecoManager能够高效地采集网络日志,向用户及时展示业务安全情况,帮助用户了解网络用户的行为,辅助用户迅速识别并消除安全威胁。
END
感谢大家跟随我们一同探索网络攻击防御和网络安全运维的知识。在网络的战场上,每一个防御策略都至关重要,每一次运维操作都意义非凡。期待大家学以致用,筑牢网络安全的城墙。也欢迎大家持续关注我们,后续还有更多精彩内容奉上。
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
请添加图片描述
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
