亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        用好下一代防火墻輕松防范網(wǎng)絡(luò)風(fēng)險(xiǎn)

        2018-11-22 06:09:58北京金玲
        網(wǎng)絡(luò)安全和信息化 2018年11期
        關(guān)鍵詞:控制策略用戶

        ■ 北京 金玲

        編者按:眾所周知,網(wǎng)絡(luò)安全重在防護(hù),完整、有效的網(wǎng)絡(luò)安全防護(hù)方案可以確保信息系統(tǒng)的穩(wěn)定運(yùn)行。本文以筆者所在單位的信息系統(tǒng)為例,結(jié)合工作實(shí)際,探討如何利用“下一代防火墻”制定全方位、行之有效的網(wǎng)絡(luò)安全防護(hù)方案。

        在日益增長(zhǎng)的網(wǎng)絡(luò)安全防護(hù)需求推動(dòng)下,防火墻技術(shù)得到飛速發(fā)展。筆者所在單位使用的防火墻型號(hào)為深信服NGAF-1350,屬于更加安全的“下一代防火墻”,提供更全面的內(nèi)容級(jí)安全防護(hù),具備完整的L2-L7完整的安全防護(hù)功能。本文以筆者所在單位的信息系統(tǒng)為例,結(jié)合工作實(shí)際,探討如何利用“下一代防火墻”制定全方位、行之有效的網(wǎng)絡(luò)安全防護(hù)方案。

        Web攻擊防護(hù)

        筆者所在單位的門(mén)戶網(wǎng)站和用戶上網(wǎng)共用外網(wǎng)線路,在這種網(wǎng)絡(luò)環(huán)境下,如果作為出口安全網(wǎng)關(guān)的防火墻不具備Web應(yīng)用防護(hù)能力,那么在APT攻擊的大環(huán)境下,傳統(tǒng)的安全設(shè)備很容易被繞過(guò),形同虛設(shè)。NGAF則提供基于黑客攻擊過(guò)程的完整Web系統(tǒng)安全防護(hù),針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù):

        1.掃描:提供網(wǎng)站防掃描、口令暴力破解、關(guān)鍵URL防護(hù)、應(yīng)用信息隱藏等。

        2.滲透:提供強(qiáng)化的Web攻擊防護(hù)(防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊)、多對(duì)象漏洞利用防護(hù)等。

        3.破壞:提供Webshell后門(mén)檢測(cè)、黑鏈檢測(cè)、抗CC攻擊、惡意腳本上傳過(guò)濾、僵木蠕檢測(cè)、異常流量清洗等。

        查看入侵防護(hù)情況,登錄設(shè)備,點(diǎn)擊“導(dǎo)航菜單”→“運(yùn)行狀態(tài)”→“安全狀況”→“入侵風(fēng)險(xiǎn)”:顯示系統(tǒng)受到Shellcode漏洞攻擊10次、System漏洞攻擊1次、Scan漏洞攻擊3次。

        具體情況(如圖1所示)是:IP地址為192.168.31.50的服務(wù)器曾被黑客使用Nmap等工具搜集服務(wù)器的端口、服務(wù)等信息,遭受7個(gè)源IP攻擊,攻擊共計(jì)14次,其中,檢測(cè)到111.230.45.212發(fā)起Shellcode漏洞攻擊處于滲透階段,39.104.28.63發(fā)起Scan漏洞攻擊處于掃描階段,建議管理員對(duì)該服務(wù)器加強(qiáng)防護(hù),并對(duì)所涉源IP進(jìn)行黑名單封堵。

        圖1 添加用戶到用戶組

        NGAF提供了Web防護(hù)、IPS入侵防護(hù)、病毒防護(hù),以及DDoS防護(hù)等功能,識(shí)別和阻斷不正常的流量,監(jiān)控不斷增長(zhǎng)和聚合的通訊流量,關(guān)閉惡意連接,對(duì)SQL注入、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳等OWASP常見(jiàn)攻擊進(jìn)行防護(hù),防止惡意流量過(guò)度地消耗系統(tǒng)資源。

        使用NGAF的網(wǎng)頁(yè)防篡改防護(hù)可以第一時(shí)間攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn),同時(shí)對(duì)外提供篡改重定向功能,將用戶的訪問(wèn)請(qǐng)求重定向到備份的Web服務(wù)器上,保證用戶仍可正常訪問(wèn)網(wǎng)站。

        具體配置只需管理員預(yù)先在控制臺(tái)配置好需要防護(hù)的網(wǎng)站,點(diǎn)擊“導(dǎo)航菜單”→“服務(wù)器保護(hù)”→“網(wǎng)頁(yè)篡改防護(hù)”→“+新增”,添加防篡改策略,設(shè)置完成后,系統(tǒng)向網(wǎng)站請(qǐng)求頁(yè)面并且緩存到設(shè)備,用以和用戶訪問(wèn)的頁(yè)面進(jìn)行比對(duì)。

        圖2 通道配置

        應(yīng)用流量的管理控制

        單位的局域網(wǎng)有200多臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)且未限制手機(jī)等移動(dòng)設(shè)備接入網(wǎng)絡(luò),如果不對(duì)流量進(jìn)行合理管控,各種應(yīng)用會(huì)嚴(yán)重?cái)D占帶寬,妨礙正常的網(wǎng)絡(luò)辦公應(yīng)用。管理員可利用NGAF的流量管理模塊規(guī)劃上網(wǎng)行為,識(shí)別和管控與工作無(wú)關(guān)的應(yīng)用,提高帶寬利用率,解決“帶寬永遠(yuǎn)不夠?qū)挕眴?wèn)題。

        流量分配的原則是確保服務(wù)器、重要業(yè)務(wù)和行政辦公的流量使用,限制流量異常的終端。具體配置過(guò)程:第一步,設(shè)置用戶組,“導(dǎo)航菜單”→“認(rèn)證系統(tǒng)”→“用戶管理”→“組/用戶”→“+新增”,選擇“組”選項(xiàng),在“組名列表”中輸入工作組名稱點(diǎn)擊“提交”。第二步,在用戶組中添加用戶,點(diǎn)擊“待添加用戶組→成員管理→+新增→用戶”進(jìn)行添加,也可到設(shè)備默認(rèn)的Default用戶組或其他用戶組中勾選待添加用戶,點(diǎn)擊“移動(dòng)”將用戶轉(zhuǎn)到待添加的用戶組。第三步,進(jìn)行通道配置,就是把一條物理線路為用戶組劃分為不同的邏輯線路,以實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的合理分配,點(diǎn)擊“導(dǎo)航菜單→流量管理→通道配置”,勾選“啟用流量管理系統(tǒng)”,進(jìn)入通道配置頁(yè)面,點(diǎn)擊“+新增通道→添加通道”,進(jìn)入通道編輯菜單進(jìn)行通道設(shè)置。在如圖2所示的通道設(shè)置中,設(shè)置內(nèi)網(wǎng)通道上行帶寬和下行帶寬最多占總帶寬的50%,優(yōu)先級(jí)選擇低,意味著該通道在與服務(wù)器爭(zhēng)用空余帶寬時(shí)處于劣勢(shì)。

        單位最初購(gòu)買(mǎi)的NGAF F-1350無(wú)法識(shí)別移動(dòng)終端,導(dǎo)致網(wǎng)絡(luò)管理存在盲點(diǎn),經(jīng)與廠商工程師溝通后,在防火墻上加裝了移動(dòng)終端管理模塊,用來(lái)識(shí)別Wi-Fi熱點(diǎn)、無(wú)線聯(lián)網(wǎng)用戶和終端,實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)用戶的可管可控。通過(guò)移動(dòng)終端管理模塊可對(duì)移動(dòng)終端實(shí)施封禁,如圖3所示,依次點(diǎn)擊“導(dǎo)航菜單→安全防護(hù)對(duì)象→移動(dòng)終端管理”,進(jìn)入移動(dòng)終端管理頁(yè)面,找到并選中流量異常的移動(dòng)終端IP地址,在頁(yè)面左上端選擇“拒絕此移動(dòng)終端”,彈出對(duì)話框選擇“是”,最后再頁(yè)面右下角點(diǎn)擊“立即生效配置”按鍵。

        安全漏洞分析和掃描

        對(duì)于管理員來(lái)說(shuō),每天進(jìn)行安全漏洞分析、軟件更新以及修補(bǔ)系統(tǒng)漏洞是每日必需的基本活動(dòng)。NGAF通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò)流量,發(fā)現(xiàn)網(wǎng)絡(luò)中存在的業(yè)務(wù)漏洞,包括:發(fā)現(xiàn)網(wǎng)站/OA存在的設(shè)計(jì)問(wèn)題、第三方插件的漏洞檢測(cè)、Web不安全配置檢測(cè)等。

        圖4是一臺(tái)剛接入網(wǎng)絡(luò)的服務(wù)器通過(guò)NGAF-1350提供的漏洞掃描功能自動(dòng)檢測(cè)出的漏洞,管理員可據(jù)此逐一進(jìn)行自動(dòng)或手動(dòng)修復(fù)。

        圖3 封禁移動(dòng)終端

        圖4 服務(wù)器漏洞掃描

        面向用戶與應(yīng)用制定訪問(wèn)控制策略

        根據(jù)業(yè)務(wù)需求,制定L3-L7層一體化基于用戶應(yīng)用的訪問(wèn)控制策略,包括應(yīng)用訪問(wèn)控制策略的制定和安全防護(hù)策略的創(chuàng)建,為網(wǎng)絡(luò)提供有效防御。訪問(wèn)控制策略配置,點(diǎn)擊“導(dǎo)航菜單→內(nèi)容安全→應(yīng)用控制策略→+新增”,進(jìn)入控制策略編輯頁(yè)面,確定控制規(guī)則的網(wǎng)絡(luò)對(duì)象、應(yīng)用動(dòng)作等選項(xiàng)。控制規(guī)則的配置應(yīng)關(guān)閉不需要使用或存在攻擊隱患的服務(wù)及端口,刪除過(guò)期的無(wú)用規(guī)則,防止規(guī)則膨脹,保留維持系統(tǒng)正常運(yùn)行所必須開(kāi)放的端口和服務(wù)的最小集合。

        總結(jié)

        安全防護(hù)不能存在短板,通常采用設(shè)備疊加的方案確保網(wǎng)絡(luò)和數(shù)據(jù)安全, NGAF在端口、協(xié)議的檢測(cè)和阻斷基礎(chǔ)上,增加了入侵防御、服務(wù)器防護(hù)、應(yīng)用流量管理等功能,將內(nèi)部網(wǎng)絡(luò)的安全控制策略集中于防火墻之上,實(shí)現(xiàn)集中管理,大大降低了設(shè)備疊加防護(hù)方案的組網(wǎng)復(fù)雜度和不兼容性。在實(shí)際使用過(guò)程中,以NGAF為核心構(gòu)建的L2-L7層整體安全防護(hù)體系可同時(shí)抵擋網(wǎng)絡(luò)層和應(yīng)用層的攻擊,展現(xiàn)了良好的抗攻擊性能,面向用戶與應(yīng)用的雙向管控,極大的提高了管理員的工作效率,讓管理員可以輕松實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效管控,防范網(wǎng)絡(luò)風(fēng)險(xiǎn)。

        猜你喜歡
        控制策略用戶
        考慮虛擬慣性的VSC-MTDC改進(jìn)下垂控制策略
        能源工程(2020年6期)2021-01-26 00:55:22
        工程造價(jià)控制策略
        山東冶金(2019年3期)2019-07-10 00:54:04
        現(xiàn)代企業(yè)會(huì)計(jì)的內(nèi)部控制策略探討
        關(guān)注用戶
        關(guān)注用戶
        關(guān)注用戶
        容錯(cuò)逆變器直接轉(zhuǎn)矩控制策略
        基于Z源逆變器的STATCOM/BESS控制策略研究
        Camera360:拍出5億用戶
        100萬(wàn)用戶
        青草网在线观看| 国产成人精品999视频| 国偷自产一区二区免费视频| 久久AV老司机精品网站导航| 在线观看av片永久免费| 国产一级内射一片视频免费| 国内少妇毛片视频| 丰满爆乳一区二区三区| 国产精品麻豆A啊在线观看| 女同在线网站免费观看| 亚洲欧美综合精品成人网站| 99热久久精里都是精品6| 亚洲av成人在线网站| 国产自拍成人在线免费视频| 美女扒开屁股让男人桶| 亚洲∧v久久久无码精品| 国产成人无精品久久久| 久久综合激情的五月天| 成人免费无遮挡在线播放| 国产真人无遮挡作爱免费视频 | 日本中文字幕不卡在线一区二区| 一二区视频免费在线观看| 青青草精品在线视频观看| 国产精品9999久久久久| 老熟妇Av| 久久精品国产亚洲av豆腐| 凹凸国产熟女精品视频app| 国产精品久久久av久久久| 天堂岛国精品在线观看一区二区| 日本一区二区三区视频免费在线 | 国产农村妇女毛片精品久久| 精品无码久久久九九九AV| 国产人妖直男在线视频| 国产色系视频在线观看| 99久久精品国产一区二区蜜芽 | 久久av无码精品一区二区三区| 亚洲av高清在线一区二区三区| 成人午夜高潮a∨猛片| 精品国产乱码久久久软件下载 | 美女窝人体色www网站| 国产成人综合精品一区二区|