《請君入甕——APT攻防指南之兵不厭詐》—第8章8.3節基于網絡的工具

本節書摘來自異步社群《請君入甕——apt攻防指南之兵不厭詐》一書中的第8章8.3節基于網絡的工具，作者【美】sean bodmer , max kilger , gregory carpenter , jade jones,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

8.3 基于網絡的工具

請君入甕——apt攻防指南之兵不厭詐

基于網絡的工具是兩個安全重點關注領域中較為有趣的一類，也是最具可操作性的工具。過去的10年間，犯罪軟體不斷發展，每天都如海嘯一般湧向全球網民。

有兩種有效的基于網絡的工具：

防火牆；

入侵檢測系統（ids）和入侵防禦系統（ips）。

8.3.1 防火牆

防火牆是最早被開發的網絡安全技術之一，用以保護接入網絡的組織和網絡節點。防火牆可能是最後一道安全防線，這取決于網絡設定。隔離區（dmz）和路由器會先于防火牆發現惡意流量。

近年來，這類技術不斷發展，并演變為多種價格不菲的安全系統，其價格取決于生産廠商。盡管如此，犯罪分子還是可以穿過防火牆，自由進出您的網絡。為了阻止某些特定威脅，防火牆必須知道檢測對象或具備預先定義的通路控制表。對于多數進階網絡威脅而言，根本沒有這類資料，是以很難提前做好防禦準備。

如今，大多數的防火牆都可以識别并确認企業内部存在的主動威脅。如果進行适當配置，防火牆可以提供關于全部流經資料的更多資訊。但需牢記，防火牆與其他人工設定的政策、規則和配置并無差別。另外，不要忘記監控隔離區和路由器系統的狀态和日志，因為它們可以提供饋入防火牆規則集所需的更多資訊。

引人思考

下列注意事項有助于提升防火牆的防護能力。

初期準備花些力氣。在得到出入網絡的基線流量之前，您會遇到很多誤報。

不必重複發明輪子。網際網路上有現成的防火牆規則，這些規則是由那些與您遇到同樣挑戰的人建立的。另外，您所選用的防火牆很可能已經預置了廠商提供的有效規則，也許很容易修改。

提供不同層次保護。您希望将您的防火牆定位于網絡層（直接的tcp/ip流量）還是應用層（進出資料庫系統的流量）？

8.3.2 入侵檢測/防禦系統

入侵檢測/防禦系統的開發始于20世紀90年代後期，用于檢測惡意網絡行為。入侵檢測系統（ids）是一種置于網絡的探頭裝置，它負責檢測網絡進、出流量。一旦發現任何異常流量，它會及時向管理者報警。入侵防禦系統（ips）也是一種探頭裝置，它能夠自動對異常事件做出響應，阻止惡意流量進、出網絡。

這些系統與過去幾年相比都有了顯著改進，不過，若想跟上目前惡意軟體的釋出速度，仍要面臨諸多挑戰。這類系統或許不能阻止目前所面臨的進階威脅，但卻是較好的報警異常行為的系統。

使用入侵檢測系統（ids）和入侵防禦系統（ips）時，需注意以下事項。

您想讓系統做什麼？您是需要一個在發生入侵行為時向您報警的系統，還是更需要一個能夠做出響應并阻止入侵行為的系統？

您需要哪類系統？您需要的是基于已知惡意特征的系統，還是能夠适應環境并檢測異常行為的系統？或者兩者都需要？

您的網絡配置得當嗎？監視網絡全部進、出流量的瓶頸在哪裡？

本文僅用于學習和交流目的，不代表異步社群觀點。非商業轉載請注明作譯者、出處，并保留本文的原始連結。