|
春天到了,各行各业都呈现出欣欣向荣的蒸腾景象,在这片繁荣背后,是否仍存在有一些安全隐患?如何让我们的企业抛却后顾之忧,大踏步的在经济建设发展的春风中矫健前行,在波诡云谲的互联网应用中高枕无忧呢?
目前,伴随信息化发展脚步加快而引发的网络安全问题日渐突出,对于企业来讲,这些网络安全问题一方面严重影响了企业正常业务的运营和工作的有序进行,另一方面给企业的声誉造成了巨大的无法挽回的损失。从一定意义上讲甚至会影响到整个国家的安全和经济发展。面对网络安全的严峻形势,如何帮助企业构建网络安全和系统安全的坚固屏障,保证企业拥有高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。
现状堪忧
根据公安部一份信息网络安全状况调查显示,被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。 其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。而这些国内信息投入比较高的大的行业企业在防火墙、入侵监测、防病毒等常见安全产品基本都已部署却依然不断的受到攻击,这些惊心触目的数据向我们发出了一个声音:网络安全问题亟需解决。
如今网络黑客的攻击手段总结起来大致归为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。传统的防攻击设备对此都无法真正发挥作用。因此今天市场上流行着两大类型的安全产品:IPS(入侵防护系统)及ANTI-DDOS(拒绝服务防护系统)。
心有余而力不足
随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾,传统的防火墙或入侵检测技术(IDS)显得力不从心,入侵防护(Intrusion Prevention System,IPS)又做的如何呢?入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
DDOS是英文Distributed Denial of Service的缩写,即“分布式拒绝服务”,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。其攻击的目的非常明确:阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。
DDOS带来的危害是巨大的,华中地区首个网络安全门户站点、网络系统安全检测认证机构武汉315安全网遭受黑客DDOS的攻击后,网页无法显示,网站全面瘫痪,最终被迫关闭。在恶意攻击越来越多的今天,更为复杂和难以预防。即便是专业的ANTI—DDOS产品对于主动防御特征码和一些新型的攻击也无能为力。
不幸的是无论IPS还是ANTI—DDOS,都无法应对层出不穷的攻击手段:攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性;通过阀值的限制误判的可能性极大,会在防范攻击的同时严重损害正常的应用和服务;新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。因此,在网络安全形势日益严峻的今天,我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。
一枝独秀
在当前的众多网络应用安全前沿产品当中,Radware DefensePro是一种综合了IPS和ANTI—DDOS的专门针对网络应用安全的解决方案,采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入受保护的区域。在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。DefensePro是市场上唯一同时具备IPS、ANTI-DDOS、基于网络行为模式BDOS的安全产品,并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量。
DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。Behavioral DoS基于网络行为模式实现自动攻击防范。借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。
所有上述流程都由DefensePro自动完成,其主要优势在于Zero-day Dos/DDos的未知攻击防范,无需人为手工干涉;对DoS攻击的完全防范、较低的CPU资源消耗;自适应的行为判别模式,将误判率降至最低;完全自适应功能、无需策略配置、无需维护成本。除了基于特征的入侵识别,能够准确地识别和抑制攻击;专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量三个模块外,DefensePro还提供黑白名单-访问控制列表的功能。Syn Flood防范是为了提供全面的SynFlood攻击防范能力,除了Dosshield和Behavioral Dos之外,DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源,并提供多重级别的防范措施。
此外,DefensePro还具备带宽管理的功能。能够根据网络数据包的源/目的地址、应用端口和内容(IP header或IP Data)区分流量,还可以限制相同用户的并发会话和每个会话的带宽,从而阻止和控制各种流量的带宽应用。
作为网络应用安全的完整解决方案,DefensePro能够对所有外来数据流进行监测和检验以确认是否为系统许可的访问和应用,基于一流的数据库和不断更新的检测识别能力、始终保持增长的全面攻击防范能力保证了DefensePro能够提供多重级别的防护措施。在实际运用中良好的性能和硬件维护也使得DefensePro能向企业持续提供最为安全可靠的系统保障。
|
