Submitted by 海东青 on 2009, February 25, 2:56 PM
目前网络中有一种攻击让网络管理员最为头疼,那就是拒绝服务攻击,简称DOS和DDOS。它是一种滥用资源性的攻击,目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。
今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法,虽然不能彻底防护,但在与DDOS的战斗中可以最大限度降低损失。
1、如何发现攻击
在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。
(1)网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。
(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,往往指向你机器任意的端口。比如你的网站是Web服务器,而数据包却发向你的FTP端口或其它任意的端口。
2、BAN IP地址法
确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。
不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。
当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说0.0.255.255表示子网掩码为255.255.0.0。
3、增加SYN缓存法
上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。
修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。
(1)Windows2003下拒绝访问攻击的防范
第一步:“开始->运行->输入regedit”进入注册表编辑器。
第二步:找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。
小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。
第三步:将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。
第四步:将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。
第五步:将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的KeepAliveTime设置为300,000,将NoNameReleaseOnDemand设置为1。
(2)Windows2000下拒绝访问攻击的防范
在Windows2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数值上有些区别。我们做下简单介绍。
第一步:将SynAttackProtect设置为2。
第二步:将EnableDeadGWDetect设置为0。
第三步:将EnablePMTUDiscovery设置为0。
第四步:将KeepAliveTime设置为300000。
第五步:将NoNameReleaseOnDemand设置为1。
总结
经过上面介绍的察觉攻击法,BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点,实际上没有一台服务器能够彻底防范它,即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段,实际中能起到一定的效果。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:44
Submitted by 海东青 on 2009, February 25, 2:56 PM
内网安全在国内的市场自从2003年左右启动至今,已经走过了4年的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网安全产品厂商的进入,造成了市场的混乱。与此相对应的是,各个高度信息化的单位,对内网安全产品的需求凸现,如何选择一个合适的内网安全产品,已经成为众多网络管理员和CIO的棘手问题。
优秀内网安全厂商明朝万达的Chinasec内网安全专家指出,CIO和网管人员在选择内网安全产品的时候,必须从需求、性能和服务三个方面,进行整体内网安全体系的设计和规划,才能够确保成功建立内网安全管理系统,确保内网安全投资的效果。
1、内网安全需求分析是基础
内网安全是一个广泛而且模糊的概念,不同的用户和厂商都有其不同的理解,但是,对于一个具体的用户单位来说,其需求是可以结合单位的实际情况分析确定的。虽然内网安全需求非常复杂,但大的方面来说,可以分为授权管理、数据保密和监控审计三种类型。
授权管理是内网安全中经常受到关注的目标,通过授权管理,可以确保在不影响用户正常业务工作的情况下,最小化享有内网的信息资源,从而将内网安全的各种风险降到最低点。授权管理的具体内容是非常丰富的,包括终端使用授权、服务器应用访问授权、文件访问授权、外设使用授权、移动存储设备使用授权、网络使用授权和应用程序使用授权等。用户单位需要那些具体的授权管理内容,需要根据用户单位的管理制度和IT应用特点而定。
数据保密是内网安全的核心目标,无论对政府还是企业,其目的就是确保内网的涉密数据或者知识产权不被内部人员有意或者无意的泄密。数据保密根据不同的管理制度和网络拓扑需要不同的方案。对于内外网隔离的涉密网络,其重点是贯彻和落实国家保密局BMB-17文件思想,实现对内网数据的全面控制。对于一般的企业,因为其内网和外网是互通的,要求在不影响正常网络信息交流的前提下,实现企业核心文档、图纸、源代码和其它文件的保密,防止内部员工通过网络或者外设等途径泄密数据。
监控审计是内网安全最早发展的内容之一,其核心目的是对内网的实时运行状况进行监控,同时根据需要对内网各种行为和信息进行记录,在一旦发生内网安全事件后,可以提供分析资料和决策依据。
事实上,在进行内网安全需求分析的时候,不是上述三个方面内容的简单组合,在这个过程中,既要考虑单位当前的需求,也要考虑到以后可能面临的需求,进行长远的规划。比如,有的企业当前阶段可能仅有监控审计的需求,但是随着企业发展和信息化程度提高,数据保密的需求就可能显现出来。所以,在进行需求分析的时候,必须立足长远,分步实施,能够确保内网安全系统的统一性、延续性和一致性。
2、性能指标是选型关键
具有丰富成功的内网安全产品设计经验和实施经验的Chinasec安全专家认为,在进行具体产品选型之前,必须仔细考虑产品的性能指标是否符合单位的需要。内网安全产品的性能,主要体现在安全性、维护性、兼容性和扩展性四个方面。
安全性是内网安全产品首先需要考核的要点。不同的内网安全产品,依据其设计理念不同,其安全性区别很大。譬如监控审计产品,其重点在于事后审计,其事前防范的能力有限,如果员工安装了双操作系统,那么很容易就可以避开内网安全系统的监管。而文档加密产品,由于基于文件类型进行加密和区分,采用了临时文件等技术,使得临时文件、剪贴板和内存等成为显著的安全漏洞,但是也具有部署简单的优势。以明朝万达的Chinasec可信网络安全平台为代表的综合内网安全平台,则具更强的安全性和保密性,可以有效实现事情防范、事中监控和事后审计的目标。
维护性是选择内网安全产品的时候CIO要考虑的另外一个问题,因为内网安全产品跟传统安全产品最大的区别在于其基于终端控制技术,要尽可能选择跟上层应用无关的产品,这样可以确保在应用产品升级和增加新应用等信息化建设的时候内网安全体系依然可以支持。有些文档加密产品可维护性就存在比较大的争议,以至于即便AutoCAD版本升级的时候,也需要厂商进行二次开发工作。选择一个可维护性好的内网安全产品,是内网安全系统能否有效运行的关键。
兼容性是内网安全产品发展初期曾经出现的致命问题,目前已经有所改善,但是,跟所有终端安全产品一样,兼容性依然是很多内网安全产品面临的问题,甚至一些最早进入内网安全领域的厂商,在该问题上都迟迟得不到提高。在兼容性的考虑上,应该尽可能选择通过采用系统底层技术和正常系统机制实现的内网安全产品,而尽量避免选择钩子技术(如剪贴板拦截和DLL替换)和非正常系统技术实现的内网安全产品,这样可以确保系统的兼容性。
扩展性是在内网安全产品选型中容易受到忽视的问题,事实上,内网安全是一个完整的体系,只有进行整体的规划,才能达到最大的效果,虽然一个单位在初期可能仅具有简单的内网安全需求,但应该从长远着想,选择扩展性能良好,模块化程度高的内网安全产品。很难想象,为了达到监控审计、数据保密和授权管理的目标,在客户端安装三个不同的内网安全产品,使用三个不同的服务器进行管理,这无论对管理还是系统稳定性,都会造成很大的不便和隐患。
3、服务能力是内网安全系统实施成败的关键
内网安全系统的实施跟其它安全系统的重要区别在于,内网安全体系建立的过程,是一个咨询、实施和改进的过程,涉及到对单位管理制度、网络拓扑、应用系统和使用习惯等调研、协调和设计的过程,要求内网安全厂商和供应商能够提供高质量和持续的服务。
首先要考查的是内网安全厂商是否是专注于内网安全行业,只有专注的厂商,才可能以内网安全产品为其企业生命线,提供高质量的服务。其次要考查内网安全厂商的核心队伍结构,内网安全产品是一个技术含量相当高的产品,其队伍的专业背景和组成决定了该产品的优越性。再次要考查内网安全产品的本地化服务能力,是否具有本地化的服务提供商,确保能够为本单位提供及时有效的服务。
Chinasec安全专家指出,正是因为处于上述种种考虑,明朝万达作为专注于内网安全领域的优秀厂商,注重创新,以毕业于清华大学和北京大学的技术和管理人员为核心,申请了多项专利和10多项软件著作权,并跟公安部三所、保密数据研究所和某国家密码研究单位等多个国家重点安全研究所结成良好的战略伙伴关系,为用户提供整体一致的内网安全解决方案。同时,明朝万达跟多达30多家分布全国各地的核心合作伙伴建立紧密的合作关系,致力于为用户提供高质量的服务。目前,Chinasec可信网络安全平台领先的理念已经日益深入广大用户的心中,已经在海关总署、经纬纺织、德信无线、朗能集团、成都规划设计院、多个军工研究院所和多个电子党政务网络等企事业单位中得到广泛应用。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:44
Submitted by 海东青 on 2009, February 25, 2:56 PM
企业该如何在有限的资金条件下,达到投入与安全的平衡?
目前很多网络安全技术还处于探索阶段,如果人云亦云地简单购买安全产品,那么,这个所谓的“IT黑洞”永远无法填满。
安全管理是填补“IT黑洞”最经济有效的方式。
防病毒:要求病毒代码每周至少升级2~3次;
漏洞扫描:要求定期对网络扫描,发现系统的漏洞,指导打补丁;
网络入侵检测系统:随着网络结构和应用的变化调整重点预警区,不但要求网管员了解预警产品的功能及响应,还必须正确配置交换机监听端口。
一、领导高度重视
对网络安全而言,领导重视更重要。网络安全管理是一个动态的系统工程,关系到:
安全项目规划、用需求分析、网络技术应用、安全策略制定、人员职责分工、安全等级评定、网络用户管理、安全审计评价、人员安全培训、安全规章制度建立。这些是对网络管理者提出的要求,仅靠技术人员的工作职能无法完成。
二、随需求确定安全管理策略
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。当然可以请有经验的安全专家或购买服务商的专业服务。
但是一个单位的网络安全服务建设不可能仅依靠公司提供的安全服务,因为商业行为与企业安全有本质差别,不是所有的网络都需要所有的安全技术,何况有些安全技术本身并不成熟,只有采取适当防护,重点突出的策略,才能有的放矢,不会盲目跟风。
不同的网络有不同的安全需求:
内部局域网和互联网接入有不同的要求;
涉密计算机的管理与非涉密计算机的管理不同;
不需实时在线的小型数据系统并不需要昂贵的NAS产品,活动硬盘即可;
应该遵照国家和本部门有关信息安全的技术标准和管理规范,针对本部门专项应用,对数据管理和系统流程的各个环节进行安全评估,确定使用的安全技术,设定安全应用等级,明确人员职责,制定安全分步实施方案,达到安全和应用的科学平衡。
就现阶段而言,网络安全最大的威胁不是来自外部,而是内部人员对网络安全知识的缺乏。人是信息安全目标实现的主体,网络安全需要全体人员共同努力,避免出现“木桶效应”。
可以用网上攻击案例教育大家,使他们充分了解计算机网络存在的安全隐患,认识到网络安全人人有责,提高工作人员的安全保密意识和自我防范能力。
出于资金考虑,一个单位愿意花几十万元购买安全产品,而往往不愿意让技术人员参加有偿培训,这是一个极大的误区。
网络安全是一门新兴的技术,即便是对计算机专业人员来说也是一个崭新的领域.如果技术人员对安全产品只有一知半解,就不能对产品正确配置,甚至根本配置错误,不但大的安全投入得不到保护,而且带来虚假的安全。对于安全产品不能买回来一装了事,应该了解安全工具的局限性和双刃性以及错误的配置带来的问题。这要求技术人员不但要懂网络、懂安全,还要了解应用需求,了解网络协议、网络攻击手段,认清并处理网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、信任关系利用、端口攻击、未授权访问等多样化的攻击手段。
针对技术人员的培训包括:网络安全理论培训、安全技术培训、安全产品培训以及本部业务培训。
三、建立严格制度的文档
网络建设方案:网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档;
机房管理制度:包括对网络机房实行分域控制,保护重点网络设备和服务器的物理安全;
各类人员职责分工:根据职责分离和多人负责的原则,划分部门和人员职责。包括对领导、网络管理员、安全保密员和网络用户职责进行分工;
安全保密规定:制定颁布本部门计算机网络安全保密管理规定;
网络安全方案:网络安全项目规划、分步实施方案、安全监控中心建设方案、安全等级划分等整体安全策略;
安全策略文档:建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记;
口令管理制度:严格网络设备、安全设备、应用系统以及个人计算机的口令管理制度;
系统操作规程:对不同应用系统明确操作规程,规范网络行为;
应急响应方案:建立网络数据备份策略和安全应急方案,确保网络的应急响应;
用户授权管理:以最小权限原则对网络用户划分数据库等应用系统操作权限,并做记录;
安全防护记录:记录重大网络安全事件,对网络设备和安全系统进行日志分析,并提出修复意见;
定期对系统运行、用户操作等进行安全评估,提交网络安全报告。
其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等,以及全面建立计算机网络各类文档,堵塞安全管理漏洞。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:43
Submitted by 海东青 on 2009, February 25, 2:56 PM
4月到6月,国外传统上称为“防火墙月”,据说这与“防火墙”的诞生有关。此后,每一种革命意义的防火墙技术都在此期间发布。遵照传统,编辑也收集了国内外论坛中的防火墙专帖,一起分享其中的安全理念与部署技巧。
定义所需要的防御能力
防火墙的监视、冗余度以及控制水平是需要进行定义的。通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。
关注财务问题
很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略
IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
网络设计
出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:45
Submitted by 海东青 on 2009, February 25, 2:56 PM
有竞争才会有进步,在这条繁华的街道上开始了我们的第一家网吧,而且生意越做越火爆。过一段时间后又多了几家同行,同一条街道上出现4间网吧,对于消费者来说这确实是一件好事,多家网吧的竞争必然会促进网吧的发展,使得各网吧的营业素质的提高。然而,丑陋的一面也慢慢的浮出水面,又于激烈的竞争,出现了相应的价格战,各网吧陆续调价,推出相应的优惠措施,层出不穷。除了降价,最无耻的就是对网吧进行恶意攻击,使网吧网络出现严重问题,延时掉线,看着客户一批批的流失,我们也无可奈何。
记得前几个星期我值班的时候,网吧出现掉线的情况,而且进不了路由,当时网吧骂声一片,好好的玩着网络游戏竟然掉线了,你说客户能不火吗?在这种情况下只能重启路由了,要不赶快恢复网络的话,麻烦更大了。重启后,先让客户们稳定情绪,然后就要进行排查工作了。但过了不到5分钟,没等我准备好,内网又断了,依旧一骂声一片。不行,我把嗅探器接到了内网中检测网内数据流,重新启动路由进行检测。从嗅探器中发现,有台机器进行大量的连接及发包,而目的地址竟是路由的IP。登陆上路由器,发现路由器的使用率高达90%,路由负荷严重,没过一会内网全掉了。根据嗅探器显示的IP地址,我们找到了那台发包的机器,上面没人,显然是在进行了一些手脚之后溜了。然后看了一下网络应用,竟然使用率达60%~80%之间,很明显是在进行DDOS攻击,把路由器都搞跨了还怎么上网。在网吧上进行恶意的攻击可是要负刑事责任的,抓到那人可要送到警察去。其中有一次,真的让我们逮到了那只老鼠,当场抓获,立马送到派出所,观众朋友可不要以身犯法啊。
重启机器后,内网又恢复正常使用。可是每隔一段时间,又会有这样的问题出现,看来我们的路由器对内网的防御做的真不够好,有没有防DDOS的路由器?
根据朋友介绍,进了一台飞鱼星4920GP,光从外型上看挺稳实的,不知道性能如何,拿回网吧,用DDOS进行测试了一下,效果还不错,不但可以防止ARP攻击,还防御内外网攻击,内网的DDOS攻击根本不是什么问题,像现在流行的synflooding、udpflooding和icmpflooding等。下面是相关的测试截图:
而且从流量控制上,不但使流量控制在所设置的范围内,而且他们的弹性流控可以更好的利用所剩余的带宽,这个功能我特喜欢,在人少的时候特别管用。
自从使用飞鱼星路由器后,内网一直没出现过什么大问题,而且管理容易,就算我不在网吧,老板自己也会亲自操刀,使用内网监控监视内网的一举一动。真的要感谢飞鱼星给我们带来这么方便易用的产品,而且管理监控等让我们超越其他网吧,现在生意越做越红火了。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:44
Submitted by 海东青 on 2009, February 25, 2:56 PM
有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。面对这种情况,该如何鉴别?
描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。
一、网络层的访问控制
所有防火墙都必须具备此项功能,否则就不能称其为防火墙。当然,大多数的路由器也可以通过自身的ACL来实现此功能。
1、规则编辑
对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?
2、IP/MAC地址绑定
同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。
3、NAT(网络地址转换)
这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理,提高自身的网络知识水平,通过分析比较,找到一种在NAT配置和使用上简单处理的防火墙。
二、应用层的访问控制
这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。
对应用层的控制上,在选择防火墙时可以考察以下几点。
1、是否提供HTTP协议的内容过滤?
目前企业网络环境中,最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。
2、是否提供SMTP协议的内容过滤?
对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等,能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。
3、是否提供FTP协议的内容过滤?
在考察这一功能时一定要细心加小心,很多厂家的防火墙都宣传说具备FTP的内容过滤,但细心对比就会发现,其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制,包括CD、LS等,要提供基于命令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符。
三、管理和认证
这是防火墙非常重要的功能。目前,防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
各种管理方式中,基于命令行的CLI方式最不适合防火墙。
WUI和GUI的管理方式各有优缺点。
WUI的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实现在美国管理位于中国分公司的防火墙。
WUI形式的防火墙也有缺点:首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。
GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。
四、审计和日志以及存储方式
目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。
目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。
好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。
五、如何区分包过滤和状态监测
一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
1、是否提供实时连接状态查看?
状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。
2、是否具备动态规则库?
某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。
状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:47
Submitted by 海东青 on 2009, February 25, 2:56 PM
中兴通讯针对移动软交换技术,提出了多个层面、多种方式的全方位、立体化的容灾技术,倾力为运营商打造安全、稳定、可靠的移动网络。
目前,越来越多的主流运营商开始全面的引入移动软交换技术,这种基于控制和承载分离的技术架构,可以实现“大容量,少局所”的建设模式,而针对移动软交换技术的安全问题也逐渐被越来越多的运营商所关注。中兴通讯针对移动软交换技术,提出了多个层面、多种方式的全方位、立体化的容灾技术,倾力为运营商打造安全、稳定、可靠的移动网络。
软交换网络结构
R4在CS域引入了承载控制分离技术,MSC被分坼为两个网元,MSCSer-ver和MGW,其中MSCServer负责MSC的控制功能,MGW负责承载控制功能,Server和MGW之间通过Mc接口(H.248协议及其扩展)来互通。
由于MSCServer只处理控制面的相关事务,因此和MSCServer相连的接口都是信令接口,信令流量都比较小,MSCServer的容量相对传统MSC来说有了比较大的提高,因此MSCServer的可靠性就非常重要。除了从单系统的角度,需要提高MSCServer的可靠性之外,还要求组网时能有比较完善的容灾方案来保障网络的安全可靠性。
针对移动软交换中负责控制的MSCServer和负责承载的MGW网元,中兴通讯提出全方位、立体化的容灾解决方案,包括MSCServer1 1主备、1 1互备、N 1主备、N 1互备、A/Iu-FLEX以及MGW负荷分担等多种容灾方案。下面针对这些容灾技术进行详细介绍。
MSCSERVER容灾解决方案
Server1 1备份方式
Server1 1备份方式是一种双归属的备份容灾方式,MGW可以同时归属到两个Server上,有两种实现方式:1 1主备,1 1互助。
主备方式特性:对于两个MSCSer-ver来说,1主1备,正常工作情况下备用Server处于非工作状态;投资成本相对比较高。主备用MSCserver配置完全相同,对网络维护管理都比较简单。当主用节点故障后,备用节点能够接管其负荷,倒换时间短,通常能够做到1~2分钟;倒换期间,相关用户无法提供服务,激活的所有业务被中断;当完成倒换后,用户业务不中断。
互为主备方式(互助式)特性:正常情况下,两个MSCserver都工作,每个MSCserver有主用部分也有备用部分。当一个MSCserver出现故障,另一个MSCServer可以接管故障MSCS的业务。
互助方式和主备方式存在着一些区别,分析如下:
1)在同样的配置情况下,主备方式在正常情况下,仅一个MSCSERVER处于工作状态;而互为主备方式时,有两个MSCSERVER处于工作状态,即此时,互为主备方式的处理能力是主备方式的一倍,可以应对节假日话务突发情况下的负荷冲击,这是互助方式最大的优势。
2)主备方式下,两个MSCSERVER仅需要一个信令点码,其中仅有主用态的信令链路处于激活态,备用态的MSCSERVER的所有信令链路处于阻塞状态。而互为主备方式下,两个MSCSER-VER需要2个信令点码,对于MSCSERVER1,所有与主用信令点A相关的信令链路处于激活状态,与备用信令点B的信令链路处于阻塞状态。对于MSCSERVER2,所有与主用信令点B相关的信令链路处于激活状态,而与备用信令点A相关的信令链路处于阻塞状态。
3)在主备方式下,两个MSCSER-VER之间仅有心跳线的交互。而在互为主备方式下,两个MSCSERVER之间除了心跳线,还存在Nc、Nb口处理。
ServerN 1备份方式
ServerN 1备份方式是1 1备份的扩展,可以将1 1备份认为是N=1的N 1备份方式。实现方式和1 1相同,再此不详加描述,可以参考1 1的说明。
由于备份Server要对N个Server备份,则必须要求1个Server对应多个MSC号码,需要配置所有Server的局数据。因此对于备份Server来说,需要增加如下功能:
网络配置可以对本局配置多个MSC号码,并能够指定0个或1个主用MSC号码。即当MSCServer备用时,无主用MSC号码,当N个中的一个MSCServer故障后,必须通过配置将需要接管的故障MSCServer的MSC号码设置为备用Server的主要MSC号码,这样对于其他Server来看,都有一个和自己配置数据一致的Server。
A/IuFlex技术
所谓的A/Iu-FLEX技术,指的是一个BSC/RNC可以同时接入到多个MSCServer,MSCServer间负荷分担,多个MSCServer组成一个“Server池”,共同控制几个位置区,每个MSCServer分配一个NRI(网络资源标识,对应于IMSI和TMSI的末几位),在这些位置区中的RNC同时接入到各MSCServer中。当收到MS发送的事务请求时,可以根据信令中携带的NRI或根据信令中的用户标识(如IMSI,TMSI等)来解析出NRI,将业务请求传送给对应的MSCServer来处理。当一个MSCServer故障时,BSC/RNC可以将到故障的MSCServer的事务转发给其他MSCServer来处理。
MGW容灾解决方案
MGW负荷分担
MGW负荷分担技术:即一个RNC/BSC可以同时接入到多个MGW,MGW间负荷分担,各MGW的负荷可以通过MSCS在资源分配时进行灵活调整;这样当一个MGW故障时,RNC的负荷由剩下的MGW来承担,不会影响RNC的业务处理。应用场景分析:Server1 1备份方式:适合于本地网容量较小的情况,但1 1互备方式下,两个Server都作为主用,设备利用率比较高,可以应对节假日突发的话务冲击。因此,这两种方式下建议采用互备方式。
ServerN 1备份方式:适合于本地网容量较大的情况,1个MSCServer可以为N个MSCServer备份,备份成本比较低。
A/Iu-FLEX方式:这种方式实现时要求BSC也要支持,如果在现网实现,难度比较大。未来在R5阶段,Iu口实现了IP承载后,此备份方式是较好的选择。
中兴通讯核心网设备优势
中兴通讯WCDMA核心网系列产品MGW、MSCServer、SGSN、GGSN、MGCF、CSCF、HLR/HSS和无线侧产品RNC均基于统一的全IP硬件平台设计和开发,整个硬件平台采用面向3G、面向下一代网络的设计宗旨,充分体现了控制和承载分离、全IP交换的思想。全面支持以上提到的集中容灾方式。此硬件平台同时还应用于中兴通讯CDMA2000产品和SoftSwitch产品,具有极高的灵活性、稳定性。充分验证该平台的成熟度。各产品网元间共用单板,充分保证了硬件系统的一致性、可靠性以及系统的可维护性,避免了不同网元提供不同平台的弊端。
中兴通讯核心网产品立足R4,全面支持R99/R4/R5平滑演进,并提供移动/固定NGN融合解决方案,符合网络发展方向。ZXWN大容量、高集成度是低成本和高性能的最佳保证。
中兴通讯能够提供完善的本地网安全解决方案,可以为运营商提供安全可靠的运营网络,在国内外得到了大量商用。在中国移动市场上,中兴通讯的容灾安全机制在湖南移动、贵州移动和重庆移动等得到了广泛应用。
在中国联通市场上,中兴通讯的容灾安全机制在广东、山东、天津、陕西、甘肃、江西、云南、重庆、贵州等多个省市得到广泛应用。同时,中兴通讯也一直在借助其强大的研发实力和大量的市场应用,来推动软交换安全容灾方案的进一步发展和完善。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:44
Submitted by 海东青 on 2009, February 25, 2:56 PM
定义所需要的防御能力
防火墙的监视、冗余度以及控制水平是需要进行定义的。通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。
关注财务问题
很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略
IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
网络设计
出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、Ftp、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
网络安全 | 评论:0
| Trackbacks:0
| 阅读:47