大家好,我是IT售前工程師Bernie。
網際網路高速發展,使我們面臨的網絡安全威脅也日益嚴重。網絡複雜度越來越高,漏洞不斷湧現。黑客攻擊、蠕蟲病毒、木馬後門、間諜軟體等威脅泛濫,機密資料被盜竊,重要資料被篡改、破壞,遭受了嚴重的經濟損失。
社交網絡,線上視訊,微網誌等,使得網際網路使用者資訊充分暴露在網上。攻擊者就有了更多的機會:他們可以通過攻擊普通使用者,得到如信用卡,帳号等隐私資訊;或者得到普通使用者的系統控制權限,進入内網,繞過防火牆等網絡層裝置。
網絡設計5大原則
安全、穩定的網絡架構,能夠有效地防止外部危險侵蝕,進而提高企業的辦公安全性。在進行網絡設計時,建議同時考慮以下5個原則。
① 高可靠性原則
可靠的網絡是其資訊化的基礎,網絡安全裝置由于部署在關鍵節點,成為網絡穩定性的重要因素。整個網絡設計必須考慮到高可靠性因素。
② 可擴充性
要保證網絡安全的基礎上整個網絡具有靈活的可擴充性,特别是對安全區域的新增以及原有安全區域擴充等要求具有良好的支援。
③ 開放相容性
網絡設計時,既要保證安全産品設計規範、技術名額符合國際和工業标準,也要支援多廠家産品,進而有效的保護投資。
④ 先進性原則
網絡中的安全裝置必須采用專用的硬體平台和專業的軟體平台保證裝置本身的安全。既展現先進性又比較成熟,并且是各個領域公認的領先産品。
⑤ 安全最小授權原則
網絡的安全政策管理必須遵從最小授權原則,不同安全區域内的主機隻能通路屬于相應網絡資源。
對網絡資源必須控制保護,防止未授權通路,保證資訊安全。為了提高整體安全性,抵禦網絡攻擊,很多企業會在網絡架構上部署IPS。
入侵防禦系統IPS
入侵防禦系統IPS(Intrusion Prevention System)是一種安全機制,通過分析網絡流量可以檢測出入侵行為(包括緩沖區溢出攻擊、木馬、蠕蟲等),并通過一定的響應方式對其進行實時中止,進而保護企業資訊系統和網絡架構免受侵害。
網絡邊界IPS
内網邊緣IPS
企業網絡邊界面臨着諸多挑戰。比如:缺失對應用層威脅的有效防護及監控;無法精确控制各種P2P、網絡遊戲等應用;尤其還是面對DDOS攻擊時,在應用層面防禦能力較弱。
我們在網絡邊界的出口處部署IPS,就可以充分發揮防禦系統的優勢。如:
① 提供全面的應用層攻擊防護,實作對最新攻擊的檢測防護
② 支援靈活的應用控制政策,實作對各類應用的細緻控制
③ 入侵攻擊事件日志記錄,日志查詢、排序等,生成詳細的日志報表等
資料中心IPS
有些企業在部署IPS時,會在IDC處部署。主要考慮到有些黑客會重點攻擊伺服器,比如做SQL注入、跨站攻擊、DDOS攻擊等。
資料中心IPS
内網資料中心的IPS主要作用
① 有效防護針對伺服器自身漏洞的攻擊
② 有效防護SQL注入攻擊,XSS跨站攻擊等WEB攻擊
③ 抵禦針對伺服器的DDoS攻擊,特别是應用層的攻擊
在IPS選型和配置的時候必須考慮裝置防護真實流量的大小,上下行接口種類和數量。
總結
一款好的IPS裝置需要支援很多功能,比如簽名認證,以便對威脅進行分析和驗證。還要具備先進的環境感覺能力,可以根據環境變化、系統變化和應用變化,自動調整網絡政策,屏蔽無關告警。
此外,還要擁有SSL加密流量的防禦能力,可以對SSL加密流量的解密和檢測,通過檢測解密後的流量,實作對加密流量的威脅識别和攔截。
我是IT售前工程師Bernie,歡迎關注!下期見~