邊界防火墻具體能實現以下任務:
通過源地址過濾,拒絕外部非法IP地址,有效地避免了外部網絡上與業務無關的主機越權訪問,防火墻可以只保留有用的服務。
關閉其他不要的服務,可將系統受攻擊的可能性降低到最小限度,使黑客無機可乘。
制定訪問策略,使只有被授權的外部主機可以訪問內部網絡有限的IP地址,保證外部網絡只能訪問內部網絡中必要的資源,與業務無關的操作將被拒絕。
由于外部網絡DMZ區主機的所有訪問都要經過防火墻,防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,通過分析可以發現可疑的攻擊行為。
對于遠程登錄的用戶,如Telnet等,防火墻利用加強的認證功能,可以有效地防止非法入侵。
集中管理網絡的安全策略,因此黑客無法通過更改某一臺主機的安全策略而達到控制其他資源,獲取訪問權限的目的。
進行地址轉換工作,使外部網絡不能看到內部網絡的結構,從而使黑客攻擊失去目標。
PDR模型是在整體的安全策略的控制和指導下,綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測系統)了解和評估系統的安全狀態,通過適當的響應將系統調整到一個比較安全的狀態。保護、檢測和響應組成了一個完整的、動態的安全循環。
PPDR(Policy Protection Detection Response)的基于思想是:以安全策略為核心,通過一致性檢查、流量統計、異常分析、模式匹配以及基于應用、目標、主機、網絡的入侵檢查等方法進行安全漏洞檢測。檢測使系統從靜態防護轉化為動態防護,為系統快速響應提供了依據。當發現系統有異常時,根據系統安全策略快速作出反應,從而達到保護系統安全的目的。
PPDR模型由四個主要部分組成:安全策略(Policy)、保護(Protection)、檢測(Detection)和響應(Response)。
安全策略(Policy):是整個網絡安全的依據;
防護(ProtecUon):通常是采用一些傳統的靜態安全技術及方法來實現的,主要有防火墻,加密和認證等方法;
檢測(Detection):檢測是動態響應和加強防護的依據;
響應(Response):響應是解決安全問題的最有效方法。
云服務模型遇到的安全挑戰有:
數據泄露問題:由于通信加密存在缺陷或應用程序漏洞等因素,使得數據從本地上傳至云端或從云端下載至本地的過程中造成泄露。
惡意攻擊:惡意用戶通過獲得訪問機密數據的訪問權限,而引起數據泄露。
備份和存儲:云服務供應商通常都提供數據備份功能。但是備份的數據通常是未被加密的,從而會導致安全威脅。研究表明,隨著虛擬服務器數量的增加,數據的備份和存儲會成為一個問題。
共享技術問題:IaaS云服務提供商以彈性模式提供服務,但這種結構通常不是具有強大隔離性能的多租戶架構。
服務劫持:服務劫持是指一些非法用戶對一些未授權的服務進行非授權的控制。服務劫持不是一種針對云計算的新威脅,但是這種威脅在云平臺上會產生更嚴重的后果。當攻擊者劫持了云用戶的賬戶時,攻擊者不僅能獲得云用戶的數據,監視用戶在云平臺上的活動,同時也可以借助被劫持者的賬戶攻擊云平臺中的其他用戶,這樣就使危害得以成倍放大。服務劫持常采用的技術有釣魚、軟件篡改和欺騙等。
虛擬機跳躍:虛擬機跳躍是指借助與目標虛擬機共享同一個物理硬件的其他虛擬服務器,對目標虛擬機實施攻擊。攻擊者能夠查看另一個虛擬機的資源程序,改變它的配置,甚至刪除存儲數據,使另一個虛擬機的機密性、完整性和可用性都受到破壞,但這個攻擊要求是這兩個虛擬機必須位于同一個物理機上,而且攻擊者必須知道被攻擊者的IP地址。虛擬機跳躍是IaaS和PaaS云的最大弱點。
加強云服務模型安全的措施有以下這些:
通過資源池化技術對安全能力進行統一整形技術:面向云的數據中心安全防護需要各種安全能力,安全能力的寄宿環境、運行形態各有差異。為保證安全能力的可調度性和彈性,需要通過資源池化技術將所有的安全能力進行軟件定義,并抽象成可調度的標準安全單位。所有的安全單位不再受制于傳統“盒子”的性能束縛,而是可以基于業務需要動態彈性地進行擴展擴容。
借助SDN服務鏈技術對安全能力進行智能編排技術:面向云的數據中心安全具有復雜的防護場景,針對不同的安全級別、風險等級、業務運行狀態等會形成不同的安全防護動作。通過SDN調度和服務鏈編排的方式,對獨立的安全能力進行場景化編排,快速通過預設的安全場景預案,使得不同類型、不同位置的安全能力按照特定的模式進行組合。
使用微隔離技術加強云數據中心的精細安全管控技術:主要針對云數據中心東西向流量采取的相對于防火墻、VxLAN來說細粒度更小的網絡隔離,能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下對于東西向流量隔離的需求,阻止攻擊者進入企業數據中心網絡內部后的橫向平移,加強云數據中心內部網絡的安全和配置靈活性。
使用PAM(特權訪問管理)技術落實特權管控技術:使用PAM技術加強云數據中心內的特權訪問安全:一是特權賬號管理,為特權賬號憑證提供集中加密的安全存儲、自動化管控和安全輪換等;二是特權會話管理,開展特權賬號連接會話的授權、監控以及對操作的審計,集中管控人機交互中的特權會話操作行為。
當把所有手續和材料準備好后,提交給各市的網安大隊或者省級的網安大隊,審批時間大概在35個工作日到40個工作日,當審批結束且通過后會在10到15個工作日內下發備案證或者備案編號,需要注意的是申報級別不同且地方不同所需要時間也不盡相同。
評測主要是評測以下方面:
安全物理環境:物理位置的選擇和訪問控制等;
安全通信網絡:網絡架構和通信傳輸等;
安全區域邊界:規定區域邊界;
安全計算環境:身份鑒別等;
安全管理中心:系統和審計管理等;
安全管理制度:安全策略和管理制度等;
安全管理機構:崗位和人員配備等;
安全管理人員:設定好管理人員;
安全建設管理:安全方案的設計等;
安全運維管理:環境和資產的管理等。
傳統的網絡縱深防御機制存在以下問題:
網絡結構安全缺陷:網絡安全域的劃分較為粗放,缺乏進一步的內部細分及隔離措施,網絡攻擊面廣,惡意入侵者突破網絡邊界后,可以在安全域內大范圍橫向移動,造成更大的破壞影響。而企業未從全網角度統籌進行網絡邊界的整合,同類型的網絡邊界各自獨立防護,安全防護能力不一致,安全建設投資大。網絡業務平面與管理平面未分離,無法充分保障管理通道資源的可用性,對資產自身的安全防護和運維管控能力較弱。
網絡邊界防御縱深不足:網絡邊界安全防護措施部署不完善,未全面覆蓋邊界的各種訪問連接場景,無法滿足最新的《信息安全技術 網絡安全等級保護基本要求》《關鍵信息基礎設施安全保護條例》等合規管控要求,存在安全檢測和防護的盲區。同時網絡邊界防御缺乏縱深,在第一層邊界突破后,缺乏有效的第二層邊界措施,無法形成真正的防御策略,難以抵御高級持續性威脅的攻擊。
廣域網防御縱深不足:廣域網匯聚節點缺乏安全防護措施,網絡攻擊面極廣,分支機構到總部、分支機構間可以任意訪問;無法在廣域網層檢測網絡威脅的活動情況,為全局態勢感知提供數據支撐;無法在廣域網層遏制網絡威脅的傳播行為,全局限制網絡威脅的影響范圍。
部署方式不靈活:傳統的網絡安全防護設備以專用硬件為主,通常以“葫蘆串”的方式在網絡邊界上部署,存在較多問題和不足。例如,網絡的高可用性結構設計容易被破壞,網絡節點故障隱患多;隨著鏈路帶寬的增加,擴容成本隨之增加,只能升級替換原有設備,無法彈性擴展安全能力;無法按需編排調度網絡流量,安全能力部署不靈活,實施難度大。
運行管理效率低:全網大量的網絡安全設備缺乏統一的運行管理措施,無法實現統一的資產管理、安全策略控制;運行管理自動化的程度不高,無法規避人為誤操作風險,整體效率較低。
傳統的網絡縱深防御機制存在問題的預防措施如下:
做好攻擊面管理:確定組織目前實施了哪些保護措施,并檢測其工作有效性。
網絡邊界整合:隨著零信任理念逐步普及,需要更完整的訪問控制機制,對每一次訪問進行身份驗證和權限劃分。網絡邊界整合要綜合考慮邊界類型、業務影響、網絡改造難度、安全建設投入、企業管理模式、監管要求等因素,實現安全能力重點覆蓋。
體系化能力構建:網絡及業務的架構不斷變化,網絡安全策略也要隨之適應。要從體系化防御視角,確定組織在網絡系統的每一層,都需要哪些保護措施。并通過自動化編排整合這些安全措施,實現安全聯防聯控。
加強網絡安全管理和運營:縱深防御體系需要實現業務層面和管理層面的分離,充分保障管理與日常運營策略的可用性。為了實現更好的防御效果,強化安全運營和安全審計必不可少,要清晰了解系統組件之間的安全缺口和薄弱環節有哪些,并采取針對性措施。
防火墻技術和入侵檢測技術聯動配合步驟如下:
建立安全通信:在建立安全通信信道時,入侵檢測系統產生一臨時會話密鑰,并使用自己的主密鑰加密該會話密鑰,向防火墻發送密鑰協商請求和認證請求;
防火墻接受密鑰和認證請求:防火墻收到密鑰協商和認證請求以后,解密獲取的臨時會話密鑰,產生本次會話的會話密鑰,并用臨時會話密鑰加密后發送給入侵檢測系統;
入侵檢測獲取密鑰:入侵檢測系統獲取上述信息后,用臨時會話密鑰解密,獲取本次會話的會話密鑰;
防火墻驗證Nonce:防火墻收到密鑰協商和認證請求以后,在解密獲取臨時會話密鑰的同時,驗證Nonce(一個隨機數序列)值、時戳和散列結果的完整性,具體方法是在每次聯動之前,防火墻作為發送方和入侵檢測系統目的方進行會話密鑰協商,同時,防火墻將自己的主機時間發送給入侵檢測系統,入侵檢測系統與防火墻進行時間同步;
入侵檢測驗證Nonce:入侵檢測系統在收到防火墻發送來的會話密鑰后,首先驗證Nonce值、時戳和散列結果的完整性,具體的方法是在每次聯動之前,入侵檢測系統作為發送方和防火墻目的方進行會話密鑰協商,同時,入侵檢測系統方將自己的主機時間發送給防火墻,防火墻與入侵檢測系統進行時間同步;
雙方將形成消息文摘或報文認證碼互相發送:上述發送方和目的方之間驗證Nonce值、時戳和散列結果完整性的具體步驟包括發送方將報文、Nonce值、時間戳和會話密鑰作為輸入變量,用hash散列函數計算后,形成消息文摘或報文認證碼發送給目的方;
雙方驗證對方報文的完整性:目的方首先將報文、Nonce值、時間戳和會話密鑰作為輸入變量,用hash散列函數計算,其次,將收到的由發方生成的消息文摘和計算的hash函數結果進行比較,如果,兩個結果一致,表明目的方收到的是發方發送的報文,且在通信過程中沒有被攻擊者修改過,從而驗證了對方報文的完整性;
判斷是正常報文還是攻擊者重放報文:最后,目的方根據在與發送方密鑰協商過程中的時間同步機制,驗證收到報文的時間是否在預先規定的時間范圍內,如果是,則認為該報文是發送方發送的正常報文,否則認為是攻擊者重放的報文。
平臺管理安全包括:
補丁管理:提供補丁的驗證方式,有效驗證補丁的功能、作用及安裝后的影響;支持自動回退功能,針對補丁安裝過程失敗的情況,可顯示告警并可自動回退。
漏洞管理:建立大數據基礎軟件的漏洞庫,保持與通用漏洞披露、國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫的聯系;時刻關注大數據組件開源社區、權威論壇,確保及時獲取0DAY漏洞信息,將大數據基礎軟件漏洞檢查工作納入合規檢查流程。
元數據管理:對過期和無用的元數據應及時銷毀;為了有效落實元數據運行維護工作,應按要求對人員分工和職責進行安排,并在日常管理中嚴格按職責要求對各個角色的人員進行考核;元數據提供安全處理策略配置和版本管理,處理過程中用到的密鑰的版本管理和存儲管理都由其統一管理,保存到特定的安全位置,一般只由去隱私處理模塊和還原處理模塊調用。
日志審計:所有對系統產生影響的用戶活動、操作指令必須記錄日志,日志內容要能支撐事后的審計,記錄包括用戶ID、時間、事件類型、被訪問資源的名稱、訪問發起端地址或標識、訪問結果等;日志要有訪問控制權限,只有管理員才有刪除權限。
配置管理:大數據基礎軟件的各個組件的端口應嚴格限制其開放范圍,否則會導致集群遭受安全攻擊;重要端口應通過統一網絡策略隔離,對能夠訪問集群的源IP地址進行限制;提供大數據參數配置集群同步功能,提供對安全配置的查詢和修改,以及備份和恢復功能。
快速檢測目標的漏洞的方法有以下四種:
安全掃描:安全掃描也稱為脆弱性評估,其基本原理是采用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測,可以對工作站、服務器、交換機、數據庫等各種對象進行安全漏洞檢測。到目前為止,安全掃描技術已經達到很成熟的地步。安全掃描技術主要分為兩類,基于主機的安全掃描技術和基于網絡的安全掃描技術。按照掃描過程來分,掃描技術又可以分為四大類:Ping掃描技術、端口掃描技術、操作系統探測掃描技術以及已知漏洞的掃描技術。
源代碼掃描:源代碼掃描主要針對開放源代碼的程序,通過檢查程序中不符合安全規則的文件結構、命名規則、函數、堆棧指針等,進而發現程序中可能隱含的安全缺陷。這種漏洞分析技術需要熟練掌握編程語言,并預先定義出不安全代碼的審查規則,通過表達式匹配的方法檢查源程序代碼。由于程序運行時是動態變化的,如果不考慮函數調用的參數和調用環境,不對源代碼進行詞法分析和語法分析,就沒有辦法準確地把握程序的語義,因此這種方法不能發現程序動態運行過程中的安全漏洞。
反匯編掃描:反匯編掃描對于不公開源代碼的程序來說往往是最有效的發現安全漏洞的辦法。分析反匯編代碼需要有豐富的經驗,也可以使用輔助工具來幫助簡化這個過程,但不可能有一種完全自動的工具來完成這個過程。
環境錯誤注入:由程序執行是一個動態過程這個特點,不難看出靜態的代碼掃描是不完備的。環境錯誤注入是一種比較成熟的軟件測試方法,這種方法在協議安全測試等領域中都已經得到了廣泛的應用。系統通常由“應用程序”和“運行環境”組成。由于各種原因,程序員總是假定認為他們的程序會在正常環境中正常地運行。當這些假設成立時,他們的程序當然是正確運行的。但是,由于作為共享資源的環境,常常被其他主體所影響,尤其是惡意的用戶,這樣,程序員的假設就可能是不正確的。程序是否能夠容忍環境中的錯誤是影響程序健壯性的一個關鍵問題。
作用點作為攻擊作用階段的主要影響因素,判定原則如下:
賬戶:包括系統賬戶、用戶賬戶等。一般指攻擊者對賬戶的猜測和字典攻擊及強力破解等,以便達到其非法進入的目的。另外,還包括安裝木馬后所創建的后門賬戶等。
文件系統:指被攻擊系統的文件系統。它涉及的攻擊主要是修改、刪除、增加、獲取文件等操作。
進程:指被攻擊系統內存空間中運行的進程。它包括操作系統進程及應用進程,涉及的攻擊如殺死特定進程、探測進程活動、利用該進程對其他部分進行攻擊等。
系統資源與信息:指被攻擊者系統的硬件資源(如CPU、內存、硬盤等)、固定信息或相對固定的信息,如涉及系統的硬件資源的參數(CPU數量、內存類型及大小、Cache容量、硬盤類型等)、系統的配置參數(分區類型、注冊表信息、硬盤及文件訪問的參數等)及軟件信息(如系統安裝的軟件列表、運行要求等)。需要說明的是,這里所指的系統信息與前面介紹的進程、文件系統的信息是有區別的,具體為:系統信息一般是固定不變或相對固定不變的,在每次系統初始化時是基本固定,而文件系統與進程中的信息在其生命周期中是動態變化的。系統信息一般都是通過系統進程來訪問固定的區域,如特定的環境變量區、內存和硬盤的固定區域等。而進程和文件系統的實際物理位置隨著加載時間的不同是動態變化的。
網絡及網絡服務:針對網絡或網絡服務的攻擊。它主要包括占用或利用網絡資源與服務、影響網絡性能和網絡服務質量、增加網絡流量、探測網絡及相關服務的信息、利用網絡提供的功能完成其他非法操作等,即對網絡本身及服務的正常運行產生不利影響。
攻擊的作用點在很大程度上體現了攻擊者的目的,且一次攻擊可以有多個作用點,即可同時攻擊系統的多個“目標”。
數據留存場景的安全需求如下:
當此功能不可用時,能夠通過快速監測和留存數據業務缺失報告及時觸發修正流程,確保功能可用。
需要明確知悉留存數據的存儲位置,進而按照相關安全法律執行相關操作。
需要確保主題列表的機密性,不管是出于操作目的還是保護關注的主題隱私的目的。
需要保證請求和響應間安全的通信。
當請求被響應時,請求內容應該被安全存儲。一旦查詢請求被響應,關于何時刪除請求和響應,需要遵循國家規定和需求。如果有足夠的措施來替代其作為證據,一般來說無須存儲請求或響應中的敏感信息。從審計角度看,存儲關于請求的時間和請求ID等信息是必要的。
宿主業務的信任需要來自外部實體,可以是NFV平臺內部的TPM或外部可信實體,此時需要使用硬件鑒別信任根。
使用高防IP可以實現以下功能:
源站隱藏:使用高防IP后,你可以將域名解析到高防IP后,由高防IP轉發的您的真實IP地址,這樣就達到隱藏真實IP目標,使用源站隱藏功能后,您的網站源IP將不再暴露,攻擊者將無法直接攻擊您的網站服務器。
防御多種DDoS類型和CC流量攻擊:智能全局負載均衡功能,采用分布式體系架構,每個節點都具備抗衡上百G攻擊的能力,實力抵御流量CC,從此再無后顧之憂。
實現電信線路聯通線路一體化:根據訪問過來的用戶,自動判斷過來的用戶是電信線路,還是聯通線路,從而自動分配最快的一條線路給訪問者,真正的實現電信聯通一體化。
自動宕機檢測功能:防御具有自動檢測功能,包括服務器是否宕機、是否受到攻擊、是否壓力過大、或是鏈路狀況不佳等等,會進行自動剔除不可用的服務器。
單線機器實現雙線,節約成本:只需購買一個單線的機器,就可實現雙線,可節約大量的成本,畢竟單線機器的價格比雙線的機器便宜很多。
邊緣計算安全參考架構包括以下方面:
應用安全:應用安全主要針對應用安全隔離風險、應用安全檢測能力不足、安全漏洞、缺少惡意應用檢查等風險,通過訪問授權、應用加固、安全檢測、接口安全、安全開發、安全掃描、應用管控等實現安全目標。邊緣計算平臺通過開發的原生應用或入駐平臺的第三方應用,將平臺相關基礎網絡能力、通用安全能力、第三方能力等開放給平臺用戶。邊緣計算應用安全重點考慮在應用的開發、上線到運維的全生命周期內,通過應用加固、權限和訪問控制、應用監控、應用審計等安全防護措施,提升應用的安全可靠性。
數據安全:數據安全主要針對隱私數據泄露、數據面網關安全、數據傳輸未加密等風險,通過數據采集、完整性審計、數據加密、敏感數據監測、個人信息保護、 安全存儲與備份和安全配置等實現安全目標。邊緣計算數據安全重點考慮在邊緣計算過程中對數據的 產生、采集、流轉、存儲、處理、使用、分享、銷毀等環節的數據安全全生命周期保護。
網絡安全:網絡安全主要針對遠程操作管理、網絡攻擊風險、網絡級安全防護不當等風險,通過接入安全、通信安全、監測與響應以及安全態勢感知等實現安全目標。邊緣網絡安全防護考慮通過建立縱深防御體系,從安全協議、網絡域隔離、網絡監測、網絡防護等從內到外保障邊緣網絡安全。
基礎設施安全:基礎設施安全主要針對配置不當、接入認證缺失、未安全隔離等風險,通過硬件安全、虛擬化安全、 接入安全、系統安全、脆弱性評估、邊緣節點日志審計等實現安全目標。邊緣基礎設施安全涵蓋從啟動到運行整個過程中的設備安全、硬件安全、虛擬化安全和系統安全。需要保證邊緣基礎設施在啟動、運行、操作等過程中的安全可信。
物理環境安全:物理環境安全主要針對機房環境、開放環境的安全風險,通過物理訪問授權、物理訪問控制、防雷擊要求、防水防火防靜電、電力設備安全保障等實現安全目標。邊緣計算產品需適配工業現場相對惡劣的工作條件與運行環境,邊緣計算平臺部署物理環境安全可包括地市級、區縣級機房,以及邊緣云、微型數據中心,或現場設備、智能網關等網絡設備。
安全運維支撐:安全運維支撐主要針對應急響應不及時、未進行冗余配置、安全測試經驗不足等安全風險,通過安全應急響應、冗余與災備、安全測試、軟件開發流程審計等實現安全目標。邊緣計算是由多個子系統組成的復雜系統,其運維通常由不同責任方開展。邊緣計算安全運維對明確不同責任方的安全職責、安全運行監管團隊構建,邊緣安全運維管理策略制定、邊緣計算系統響應與恢復等進行要求,保證邊緣計算系統安全可靠的運行。
安全管理:安全管理主要針對平臺管理和第三方管理等安全風險,通過人員管理、系統管理、口令管理、安全策略管理、安全管理制度等實現安全目標。邊緣計算管理安全包括涉及平臺自身的管理安全,以及與其他相關方合作過程中的管理安全。
安全等級保護需要以下設備:
防火墻:防火墻的功能主要是兩個網絡之間做邊界防護,企業中更多使用的是企業內網與互聯網的NAT、包過濾規則、端口映射等功能。生產網與辦公網中做邏輯隔離使用,主要功能是包過濾規則的使用。
入侵防御:同防火墻,并增加IPS特征庫,對攻擊行為進行防御。
統一威脅安全網關:同時具備防火墻、防毒墻入侵防護三個設備的功能。
IPSECVPN:通過使用IPSECVPN使客戶端或一個網絡與另外一個網絡連接起來,多數用在分支機構與總部連接。
SSLVPN:隨著移動辦公的快速發展,SSLVPN的使用也越來越多,除了移動辦公使用,通過瀏覽器登錄SSLVPN連接到其他網絡也十分方便,IPSECVPN更傾向網絡接入,而SSLVPN更傾向對應用發布。
web應用防護系統:針對HTTP/HTTPS協議進行分析,對SQL注入攻擊、XSS攻擊Web攻擊進行防護,并具備基于URL的訪問控制;HTTP協議合規;Web敏感信息防護;文件上傳下載控制;Web表單關鍵字過濾。網頁掛馬防護,Webshell防護以及web應用交付等功能。
網絡安全審計:針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。
數據庫安全審計:審計對數據庫的各類操作,精確到每一條SQL命令,并有強大的報表功能。
日志審計:通過對網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理,及時發現各種安全威脅、異常行為事件,為管理人員提供全局的視角,確保客戶業務的不間斷運營安全部署:旁路模式部署。通常由設備發送日志到審計設備,或在服務器中安裝代理,由代理發送日志到審計設備。
運維安全審計:主要是針對運維人員維護過程的全面跟蹤、控制、記錄、回放,以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放。
入侵檢測(IDS):通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
上網行為管理:對上網用戶進行流量管理、上網行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等。
負載均衡:確保用戶的業務應用能夠快速、安全、可靠地交付給內部員工和外部服務群,擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。
漏洞掃描:根據自身漏洞庫對目標進行脆弱性檢測,并生產相關報告,提供漏洞修復意見等。一般企業使用漏洞掃描較少,主要是大型網絡及等、分保檢測機構使用較多。
異常流量清洗:對異常流量的牽引、DDoS流量清洗、P2P帶寬控制、流量回注,也是現有針對DDOS攻擊防護的主要設備。
抓雞軟件的操作過程大概分為以下步驟:
1.本地搭建HTTP或者FTP,用于存放我們的服務端程序(木馬),以及提供下載
2.批量對某個IP段掃描, 掃描開放3306和1433端口的IP地址
3.在篩選出開放3306和1433端口的IP后, 對他們進行弱口令猜解用戶密碼。
4.一旦登錄遠程數據庫之后 , 軟件便自動對數據庫發送SQL語句命令:讓遠程主機通過我們搭建的傳馬地址主動下載木馬,再自動運行。
5.當然這個過程只是個原理講解, 操作都是在軟件中執行的 ,所以不會SQL語句也沒事,有工具的。只要學會用抓雞軟件就好了。
