綜合利用
從供應(yīng)商架構(gòu)中的DDoS減弱方法,用于網(wǎng)絡(luò)維護(hù)的防火墻和入侵防御(IPS技術(shù),再到用于應(yīng)用層保護(hù)的Web應(yīng)用防火墻,還有用于維護(hù)文件系統(tǒng)完整性的內(nèi)容完整性監(jiān)控系統(tǒng)(CIMS最后是為各種平安和服務(wù)器組件提供日志信息的日志管理系統(tǒng)(LMS不過(guò),要想擁有一個(gè)可以實(shí)時(shí)監(jiān)測(cè)平安威脅并具備安全適應(yīng)性的平臺(tái),恐怕還任重而道遠(yuǎn)。
這種防御機(jī)制下,深層防御是指用一系列防御機(jī)制保護(hù)電腦。如果其中一個(gè)失效,那么其他維護(hù)方法還可以發(fā)揮作用。偏重實(shí)用的深層防御安排案例,例證整合了現(xiàn)有的技術(shù)和高效的綜合型企業(yè)網(wǎng)絡(luò)安全架構(gòu)。
環(huán)境
讓我先考慮下面這個(gè)常見(jiàn)的企業(yè)IT裝置情境。許多企業(yè)出于不同的原因使用第三方托管架構(gòu)服務(wù)。通過(guò)外部托管,為了說(shuō)明如何安排深層防御。企業(yè)有能力利用保守空間或能源模式在托管服務(wù)供應(yīng)商租借一個(gè)安全的環(huán)境,同時(shí)又可以對(duì)系統(tǒng)進(jìn)行自主管理,或者他也可以從供應(yīng)商那里購(gòu)買托管服務(wù),這其中包括網(wǎng)絡(luò),系統(tǒng)和安全服務(wù)。這些環(huán)境旨在托管企業(yè)中可被公眾訪問(wèn)的系統(tǒng),其范圍涉及郵件,公司用戶文件傳輸服務(wù),企業(yè)電子商務(wù)平臺(tái)。
平安都在環(huán)境設(shè)計(jì)中扮演著重要的角色。設(shè)計(jì)此類環(huán)境平安的一種典型方法是利用網(wǎng)絡(luò)。這樣討論的目的于讓我設(shè)想企業(yè)將自己的電子商務(wù)平臺(tái)托管到這樣的環(huán)境中。電子商務(wù)平臺(tái)包括Web層級(jí),不管是租借的還是托管型部署。這些層級(jí)就好像是各種交易的傳輸工具或支付網(wǎng)關(guān)一樣。中間件和數(shù)據(jù)庫(kù)層級(jí)起支持作用。這樣的設(shè)計(jì)要求把每個(gè)層級(jí)都托管到合適的網(wǎng)絡(luò),也就是虛擬局域網(wǎng)或VLAN用過(guò)濾設(shè)備,如在平安性較低的界面使用帶有Web服務(wù)器的防火墻等,便可以完成這一任務(wù)。而中間件和數(shù)據(jù)庫(kù)層級(jí)要托管到平安性較高的界面。而且不能從公共網(wǎng)絡(luò)直接訪問(wèn)中間件和數(shù)據(jù)庫(kù)層級(jí)。某些設(shè)計(jì)情境中,中間件和數(shù)據(jù)庫(kù)層級(jí)位于相同的防火墻界面之后,只不過(guò)位于不同VLAN上。此類情境中,兩個(gè)層級(jí)之間不存在流量過(guò)濾,除非交換機(jī)強(qiáng)制要求進(jìn)行過(guò)濾。
這類案例中的防火墻就好像是防御互聯(lián)網(wǎng)威脅的最基本屏障。會(huì)將這樣的環(huán)境作為安排深層防御戰(zhàn)略(使用現(xiàn)有平安技術(shù))基線。
切實(shí)可行的深層防御
可以依照不同企業(yè)的具體需求分別對(duì)待。筆者想到一個(gè)為上述環(huán)境安排平安安排平安方案的好方法。
第二個(gè)組件主要通過(guò)已知的流量行為來(lái)減輕攻擊(例如,深層防御的第一步是供應(yīng)商網(wǎng)絡(luò)架構(gòu)中的企業(yè)環(huán)境外強(qiáng)制部署。該技術(shù)組件主要負(fù)責(zé)維護(hù)環(huán)境免受分布式DDoS攻擊。DDoS攻擊緩解技術(shù)一般包括兩個(gè)組件:第一個(gè)組件主要通過(guò)監(jiān)控普通流量中的異常行為來(lái)檢測(cè)攻擊。威脅管理系統(tǒng)或TMS
因此可以減少鏈接飽和的風(fēng)險(xiǎn)和增加的帶寬本錢。DDoS維護(hù)通過(guò)邊境網(wǎng)關(guān)協(xié)議(從中心路由設(shè)備到DDoS清理中心)實(shí)現(xiàn)瞬時(shí)的流量分離。最有效的DDoS減緩時(shí)通過(guò)供應(yīng)商的架構(gòu)實(shí)現(xiàn)。
但是托管環(huán)境中,防火墻可以有效阻擋特定網(wǎng)絡(luò)威脅。端口對(duì)互聯(lián)網(wǎng)敞開(kāi)HTTP80/TCP和HTTPS443/TCP其有效性受到局限。這樣的環(huán)境中,最好是用Web應(yīng)用防火墻設(shè)備來(lái)增大防火墻。
如跨站點(diǎn)腳本攻擊,Web應(yīng)用防火墻主要被用來(lái)保護(hù)環(huán)境免受針對(duì)應(yīng)用的攻擊。SQL注入和參數(shù)篡改等。這些設(shè)備都是通過(guò)托管環(huán)境中,防火墻和核心網(wǎng)絡(luò)交換機(jī)之間的物理連接來(lái)配置。一個(gè)Web應(yīng)用防火墻就像是一個(gè)橋接設(shè)備,可以在應(yīng)用層攔截那些與已知攻擊向量流量的特征相符合的數(shù)據(jù)流。當(dāng)硬件啟動(dòng)失效的時(shí)候,也不能被打開(kāi),所以它能確保流量繼續(xù)流向Web服務(wù)器。一些Web應(yīng)用防火墻供應(yīng)商也提供數(shù)據(jù)庫(kù)的監(jiān)控和保護(hù)服務(wù),這些服務(wù)可以掌控通向數(shù)據(jù)庫(kù)的威脅。維護(hù)是通過(guò)代理強(qiáng)制安排,而代理通常被安裝在托管數(shù)據(jù)庫(kù)的服務(wù)器上。
因此它對(duì)以網(wǎng)絡(luò)為中心的攻擊不能進(jìn)行有效攔截如互聯(lián)網(wǎng)蠕蟲(chóng)。一個(gè)Web應(yīng)用防火墻可用來(lái)配合入侵防御系統(tǒng),由于Web應(yīng)用防火墻一般關(guān)注的都是發(fā)生在應(yīng)用層的攻。后者主要是對(duì)網(wǎng)絡(luò)層上完成基于簽名的修復(fù)。這些設(shè)備在內(nèi)聯(lián)容量中整合了防火墻,而它離開(kāi)防火墻的同時(shí)會(huì)攔截威脅,因此可作為模塊使用。
對(duì)于有效地深層防御而言,隨著我進(jìn)一步接近服務(wù)器平臺(tái)。抵抗惡意威脅和監(jiān)控文件系統(tǒng)的任務(wù)顯得尤為重要??梢越Y(jié)合主流反病毒/反惡意軟件和內(nèi)容完整性監(jiān)控系統(tǒng)來(lái)實(shí)現(xiàn)這一任務(wù),其中內(nèi)容完整性監(jiān)控系統(tǒng)可以實(shí)時(shí)追蹤文件系統(tǒng)發(fā)生的更改,并發(fā)出警告。
該系統(tǒng)就好像是單獨(dú)平安組件的日志存取器。除了可以用作保守服務(wù)器的日志存取器,將所有的嘗試結(jié)合在一起就可以實(shí)現(xiàn)集中式日志管理系統(tǒng)。一個(gè)日志管理系統(tǒng)還可以在預(yù)置的事件過(guò)濾器上生成實(shí)時(shí)警告。而且,還能為各種安全組件的日志數(shù)據(jù)提供靈活的搜索界面。另一類名為安全信息和事件管理的系統(tǒng),則在日志管理中具備根??杀挥脕?lái)代替日志管理系統(tǒng)。平安信息和事件管理系統(tǒng)擴(kuò)展了日志管理系統(tǒng)的功能,因?yàn)樗€可以提供智能的威脅分析與減弱威脅的功能。