擅長領(lǐng)域：網(wǎng)絡(luò)、安全、通信，移動應(yīng)用

Check Point軟件技術(shù)有限公司北方區(qū)安全顧問。畢業(yè)于北京信息科技大學(xué)自動化系。具有CISP信息安全注冊師，以及Check Point CCSE高級安全工程師認證。擁有超過８年的安全行業(yè)從業(yè)經(jīng)驗。曾給包括金融、電信、政府、軍隊等大型客戶進行安全設(shè)計與咨詢培訓(xùn)工作。

查看本期門診精彩實錄: http://doctor.51cto.com/develop-172.html  

參與最新技術(shù)門診：http://doctor.51cto.com/

精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：請問，如何構(gòu)建適合企業(yè)的入侵防護系統(tǒng)呢？

A：這個問題很大的, 通常先了解自己的網(wǎng)絡(luò)應(yīng)用, 再分析比較各個產(chǎn)品廠商,最好找到類似的企業(yè)案例應(yīng)用參考;最后當(dāng)然實踐出真知,上線測試一下,如果可以再模擬攻擊一下,看好不好用。

Q：老師您們好：主動防護一般主要是哪幾種形式？假如遭到惡意攻擊時應(yīng)采取怎樣的應(yīng)急措施？

A：根據(jù)不同的廠家和技術(shù), 可以reject , drop , reset 連接等;遭到惡意攻擊如果不是性能上的, 可以防火墻或之前的訪問控制上直接加黑名單阻斷,如果是DOS或DDOS, 在你的日志上有攻擊源地址, 你可以找你的接入商要求封掉該地址對你的連接,或者從網(wǎng)絡(luò)等方式找到該地址的所有維護者,通常是某些IDC里托管的機器,可以聯(lián)系該IDC管理員,出示證據(jù),解釋清楚, 通常管理員會斷哪個肉雞的網(wǎng)再通知哪個所有人,起碼我之前這樣作過。

Q：學(xué)網(wǎng)絡(luò)安全并不是很好，我想問下，如果把所有的漏洞都補齊，黑客還能入侵我們的操作系統(tǒng)嗎？如何發(fā)現(xiàn)自己的系統(tǒng)被入侵了？入侵檢測系統(tǒng)，檢測的哪種行為算是被入侵？

A：漏洞都補齊(只是理論上,沒有哪個廠家宣稱自己沒有任何弱點) ,也可能被侵入;比如你的系統(tǒng)已經(jīng)把所有的想象到的補丁都打了, 但你上網(wǎng)訪問某些網(wǎng)站,說要下載某個運行軟件, 你同意了, 或者根本就是混在其他應(yīng)用里下來的, 是你主動連接下載的, 那就沒有用;所以通常IPS就是,等你人為的犯錯,它也是可以起到一定防護作用的入侵檢測系統(tǒng)，檢測的哪種行為算是被入侵？要看它的策略定義了。

Q：個人比較頭疼被入侵的問題，公司業(yè)務(wù)已經(jīng)被入侵過多次，包括webshell、掛馬以及DDOS流量攻擊，打擊很大，但是一直也沒找到讓人踏實好用的方法解決掉這些問題，趁此機會請教兩位安全方向的大師，對于做互聯(lián)網(wǎng)行業(yè)的公司，其公網(wǎng)服務(wù)器的保護該做哪些方面的安全措施？哪些設(shè)備對這些方面的防護效果會比較好？麻煩推薦下，謝謝！！

A：通常來說.公網(wǎng)上的服務(wù)應(yīng)用,首先建議要用不是那么知名的漏洞很多的那些應(yīng)用軟件,其次系統(tǒng)加固一下,把系統(tǒng)缺省啟動的那些不用的應(yīng)用和端口都關(guān)掉,能修正的補丁用上,帳戶密碼就不用說了, 不要上來Root 權(quán)限就可以直接連接,怎么也得用低級帳號登陸再在需要時候切換哪;之后前面最少有防火墻做訪問限制,只開放對外的端口和應(yīng)用,對那些維護類的如telnet / ssh / ftp等在防火墻上最好作好日志記錄, 能有先一步的認證機制或VPN連接就更好了,之后如果可以,再放個 IPS , 針對你的應(yīng)用重點防御; 你覺得防護作的差不多了, 找個知名的攻擊類探測掃描器的廠商,針對性攻擊嘗試一下,如果還有漏洞就再補。

Q：請教兩位專家：

1、選擇了IPS,是否就沒有必要再用IDS產(chǎn)品了呢？

2、現(xiàn)在網(wǎng)絡(luò)安全界很流行UTM，那選擇了UTM這樣的綜合安全防護產(chǎn)品，是否就可以不用再單獨考慮IPS系統(tǒng)了呢？

A： 1. IPS 重在防御IDS 重在檢測，功能上有很大區(qū)別并不能相互替代；

2. 傳統(tǒng)UTM，網(wǎng)關(guān)之中的IPS功能較為簡單，無法和單一IPS解決方案相比。

Check Point 基于軟件刀片架構(gòu)的XTM安全網(wǎng)關(guān)解決了傳統(tǒng)UTM的局限性，網(wǎng)關(guān)中的IPS模塊可以提供企業(yè)級IPS功能和性能。

Q：我們公司最近也在做入侵防護系統(tǒng)的選型工作，但是面對市面上那么多品牌和型號的IPS產(chǎn)品，我們該如何選擇呢？需要考慮哪些技術(shù)指標(biāo)呢？

A：這個要多查些網(wǎng)絡(luò)對比評論的文章了.通常選擇的指標(biāo), 性能方面有加載檢測防護策略條件下的吞吐量, 時間延遲,最大并法容量,新建連接能力等, 硬件上有Fail-open卡,電源風(fēng)扇磁盤存儲的冗余等, 軟件功能有檢測項目的數(shù)目,測試的誤報率和漏報率,管理界面的友好度, 統(tǒng)計分析報表等。

Q：一般的中小企業(yè)有上這種產(chǎn)品的必要嗎?   一般的防火墻,路由器,交換機的基礎(chǔ)架構(gòu)再上這個是否會減低網(wǎng)絡(luò)的傳輸效率? 這和反病毒,UTM類的安全產(chǎn)品具體有什么不同?

A：中小型企業(yè)從安全的角度看, 也有需要, 但要看在安全方面的投資;安全和應(yīng)用有的時候是有些矛盾的, 安全控制的越厲害, 用起來就有慢啊等不方便的地方, 但安全是一種需求,甚至是制度要求, 該要的還是要部署;安全產(chǎn)品類型很多了，防火墻, IPS , 防病毒等是不同的方面, 不能互相徹底替代的。

Q：老師，您好。我想問問，在以linux搭建服務(wù)器的中小企業(yè)在安全方面有什么地方注意的，是不是使用linux的系統(tǒng)出現(xiàn)安全問題的可能性要比window少一下呢？

A：按個人經(jīng)驗,linux會少些問題;但不要忘了,linux也是很普遍應(yīng)用的系統(tǒng),上面的很多缺省服務(wù)也是有名的漏洞多;所以用linux注意要關(guān)閉不用的服務(wù)和端口,還有 root和其他系統(tǒng)用戶之間的轉(zhuǎn)換,與目錄文件權(quán)限。

Q：請問：有5臺win2k3 服務(wù)器，主要應(yīng)用web ； mssql；mysql； mail ；每個服務(wù)器大致有200個左右制作質(zhì)量層次不齊網(wǎng)站（客戶測試的），導(dǎo)致資源負載過大。或經(jīng)常有掛馬發(fā)生，或者某個網(wǎng)站線程死掉無法打開。還有就是攻擊某個網(wǎng)站，導(dǎo)致整個服務(wù)器打不開如何有一個好的方案對服務(wù)器進行優(yōu)化。能對上述問題有好的解決或者控制購買軟硬件可建議一二。

A：這個不是IPS就能解決的，需要提升系統(tǒng)設(shè)備性能, 做系統(tǒng)加固;最好通過虛擬機分開,不要所有應(yīng)用都掛在一個系統(tǒng)里;然后才是前面IPS針對主要應(yīng)用進行針對性防護。

Q：請問專家，IPS系統(tǒng)是否具有蜜罐的功能？如果攻擊者采用DDOS攻擊，那么是否能夠有什么有效的措施阻止該類攻擊？?

A：部分品牌有,通過分類后將DOS類型的攻擊數(shù)據(jù)流導(dǎo)引開;原則上DDOS是沒有特別好的方法阻止的, 你在被動的接受,只有提升系統(tǒng)設(shè)備性能和檢測判決的精度,還有聯(lián)系上層接入商,從上層封殺DDOS的肉雞地址。

查看更多精彩門診：http://doctor.51cto.com/