保护网络抵御来自基于网页的服务攻击在过去几年里变得越来越复杂。新的威胁如洪水而来,这也使得区分恶作剧和极具危险的攻击变得十分困难。幸运的是,出现了许多为安全专业人士准备的搭建多层防护的工具,用其可以构建多层防护。 MILY: 宋体; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'">在中世纪的战争年代,防御的主要目标是抵御对城堡的进攻。为了攻陷城堡,入侵者需要绕过城堡周围的守军,冲破城墙(通常采用弓箭和滚油桶保卫),击败城墙内的守军,穿过护城河,最终攻破城堡的防守。在此过程中,不能在任何一点失败。保证网络安全需要采取相同的策略。 分层的网络防御方法允许你采用漏斗形式筛滤攻击。已知的攻击可以在漏斗的顶部被适于处理大流量的安全机制筛滤出来。对于可能会穿透一层或多层的复杂攻击,可以采用保护方案中的复杂安全机制。 对大多数网络来说,最外面的安全防护层设置在边界路由器——其位于外部网络和受保护网络的分界线上。新型路由器可以处理包括访问控制列表和过滤,其可过滤那些不符合预定规则的数据流。采用路由器可以更有效地防御基于网络的攻击。 最首要的是,你可以配置路由器阻塞站内由通常与网页应用相关的端口(例如80,443,8080等)到任何不隶属于Web认证服务器的系统的通信。这种设置将可以防止用户(内部的和外部的)建立易受攻击的伪装非法的Web服务器。它还有助于避免探测攻击,这种攻击通过阻塞未授权的端口搜索运行着无人维护的Web服务的系统。 你还可以设置路由器的控制列表和其他基本过滤方法以进行访问控制。例如,如过你发现一个从某一特定IP子网发起的DOS攻击,你可以简单地通过在边界路由器上将该子网加入黑名单进行应对。在最外层采用路由器进行防御的最大优点是速度快——路由器处理速度非常快,有助于防止更复杂的安全设备,像是防火墙和内容过滤器,因数据量太大而失效。但是,你必须知道,路由器并不能成为一套完整的安全解决方案。它们不能执行正规的检测,只能用于初级的过滤。 你可以采用的第二种防护机制包括漏洞扫描器。这些工具扫描你网络上的系统(客户机和服务器),以发现可能被恶意代码利用的漏洞。在客户端,漏洞扫描器允许你探测易于受到从网络发来的恶意代码的利用的系统。它们采用详尽的漏洞数据库探测各系统是否具有和存储的识别标记相符的情况,并将探测到的漏洞向管理员汇报。它们在发现一般漏洞,如open SMTP relay和未打补丁的操作系统方面表现出色。 在服务器方面,这些工具可以帮助你修补网络服务器的漏洞,以防御拒绝服务攻击和其他威胁。对其他主机来说,最常见的网络服务器缺陷是错误的操作系统补丁级别。这看上去象是一个简单的问题,但它常常被忽视,并成为系统安全隐患的首要原因之一。如果你采用Microsoft产品,你应该考虑采用免费的Microsoft Baseline Security Analyzer。如果你正在寻找一种第三方的独立产品(其也可使用在非Microsoft操作系统上),你可以试一试开放源代码的Nessus scanner。 下一道防线包括采用针对特定应用程序的过滤器。和采用漏洞扫描器一样,你可以采用两种方式使用这些工具:客户保护和服务器保护。在最基础的级别上,客户保护过滤器,如SurfControl 和Proventia,进行URL过滤,以防止用户浏览不安全的网站。这些工具在过去三年得到了很大发展,现在已经可以进行内容扫描,IM附件过滤和其他高级应用。服务器过滤器,如Microsoft的UrlScan,可以对进入网络服务器的数据流进行类似的过滤,搜寻其中符合已知攻击或违反标准的URL请求。 另一种你可以考虑采用的机制是基于网络的或基于主机的入侵检测系统。过去其一般应用于大型企业,但现在即使在最小型的网络上也可采用IDS对数据流进行监控。如果你可以提供一个主机箱,就可以在几个小时内安装并使用开放源代码的IDS(如Snort)。你可能想在你最易受到攻击的Web服务器上安装基于主机的系统以增强基于网络的传感器。对中等规模的企业,Symantec的Intruder Alert是通常的选择。当然,还有许多安全产品制造商会向你推销更昂贵的企业级解决方案。 在考虑IDS时,很重要的是记住它们不是即插即用的。你必须花时间调试系统以适应你的网络,并保证误确认报告(即,系统报告数据流中隐含攻击,而其实它是合法的)程度不会达到使管理员忽视以后出现的警报。 请注意:最近出现了许多关于所谓的入侵防护系统的传闻。这些系统在它们发现攻击的时候采用阻塞从同一源地址而来的其后的数据或“反攻击”(一种并不太受推崇的方法)等纠正措施。采用IPS以阻断数据流与边界路由器阻断数据流具有相同的优点(事实上,许多IPS与网络设备共同工作),但是其将管理阻塞和解除阻塞系统的的担子从工作繁重的管理员身上转移到了自动化的系统上。依我的观点,这些工具还没有完全成熟,并不适用于实际网络,其主要原因是很难信任自动化系统去断开和阻塞主机访问网络。但是,如果你感兴趣的话,Enterasys, McAfee和Symantec已经可以提供高质量的IPS。 本文涉及较广,主要说明深度防御如何保护你的企业免受基于网络的服务攻击,通过分层部署增强网络的安全性。