摘要:通过将万兆WAF、万兆流量清洗与抗拒绝服务产品(ADM)和其他安全产品进行组合,启明星辰能够提供万兆环境下的全面Web安全解决方案。
万兆网络并不仅仅意味着网络带宽的增加,与之相匹配的业务系统亦随之而变得更加复杂。万兆安全解决方案并不是简单的选择相应安全设备的万兆型号,还会包括更为复杂的部分。拿最为常见的Web业务安全举例,我们可以清楚的看到,随着业务系统的复杂化,安全防护措施也在不断完善。
单一技术对抗简单的攻击手段的时期
这个时期,由于Web威胁行为的危害程度不是非常高,调整网络结构或者是部署WAF产品,都可以在很大程度上解决Web威胁相关问题。其主要的手段有以下两种:
1.通过设置DMZ区来防御Web威胁
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web业务系统以及其他对外提供服务的业务系统。将Web业务放置在DMZ区,可以避免承载重要数据的服务器直接面对来自互联网的攻击,起到缓冲的作用。
2.通过部署WAF产品来抵御Web威胁
随着攻击技术的发展,尤其是注入技术的出现,DMZ已经不能起到安全防护的作用了,攻击者可以通过最为正常不过的HTTP协议,攻陷Web业务前台系统,从而直接对后台数据进行访问或者是篡改。于是出现了用于抵御应用层攻击的WAF类产品,对Web业务前台系统的漏洞进行封堵,藉此来防护Web业务系统的安全。
多技术组合对抗复杂攻击手段的时期
这个时期,网络带宽、应用业务的复杂度都进入了一个新的阶段。Web业务资产价值的提升、Web威胁行为的危害程度升级,都进一步加大了Web业务的风险值。这个时期对Web威胁的防御,不能仅仅考虑Web业务本身,而应当扩展到全业务流程中去。
仔细审视大流量环境下的Web业务系统,我们可以发现安全风险点不仅仅存在于网络的出口。由于业务系统的庞杂,各个节点都可能存在安全隐患。
1.网络出入口的安全隐患
分布式拒绝服务攻击(DDoS)。意大利政府网站、墨西哥政府网站、CIA网站都是DDoS攻击的受害者。
数据窃取和页面篡改。今年,某黑客组织曾攻陷了数百个政府机关网站并篡改其网站页面。后来,该黑客组织还公布了1.7G的窃取自美国司法部的数据。
2.后台数据库的安全隐患
数据库的越权访问。对于大型Web业务系统而言,后台数据库服务器的维护者往往采用另外的维护入口进行数据库相关维护,拥有数据库访问权限的维护人员的越权操作,将影响Web业务系统的正常运行。
