纵深防御模式是保护企业的最佳方法是没有争议的。但是,哪一层最重要?有人说,应用层是最为关键的一环,而且这种说法也有一定依据(这是未来的争论?)。但是,我们这里考察两个更普通的方法:网络层与端点。
观点1:网络层更重要,可提供处境意识
NitroSecurity重要基础设施市场主管Eric Knapp称,虽然端点安全是纵深防御态势的一个重要组成部分,但是,网络层是最重要的,因为它能帮助消除进入 服务器 、主机和其它资产的入站恶意代码,同时提供一个极好的活动监视基础以改善我们的整体处境意识。
当网络和主机安全都增强的时候,最终产生的安全“大块糖”是攻击者很难咬动的。这是重要的,因为虽然应用程序白名单和其它技术的推出显著改善了端点安全,但是,我们的系统和设备种类太多并且相互连接太多,不能保证主机安全措施百分之百地普遍应用和百分之百地有效。端点安全防护措施中的一个薄弱环节就可能为攻击者创造一个滩头阵地。因此,对于网络上的一切东西的相互连接有一个全面的观点是重要的。
安全测验
当然,网络安全不是一个新技术。甚至使用单向网关(网络层相当于应用白名单。在那里,在物理层将提供绝对的保护),也有可能绕过一个增强的网络外壳,暴露网络主机的内部状况。然而,网络是公分母,是所有的系统、应用程序和服务的纽带。通过适当地监视网络,可以发现大规模的威胁。主机本身会更安全。
使用防火墙和入侵防御系统等标准的网络安全设备的积极保护是开端。使用入侵检测系统、网络流量分析以及网络行为分析工具、记录管理和安全信息与事件管理(SIME)系统等更全面的系统实施的网络活动监视将丰富端点保护设备和提供更广泛的威胁检测能力。
换句话说,基于网络的安全不仅仅是一层防御,它是获得处境意识的要点,向安全分析人士显示所有这些离散的主机安全事件如何相互关联,与重要的安全以及企业的遵守法规政策有什么关系。
当正确地使用的时候,网络层安全信息能够与主机上的应用白名单一起使用以便创建更好的东西。在伦敦召开的SANS研究所安全会议上首次出现的词汇“智能名单”引进了这样一个概念,就是使用主机上的应用程序白名单代理程序中的安全事件完成网络安全设备的反馈回路。网络安全设备通常根据黑名单封锁通讯或者定义特征。这些特征告诉防火墙或者入侵防御系统我们所知道的坏东西。
当一个另日攻击漏洞经过这些黑名单防御并且攻击使用某些应用控制保护的主机时,这个利用安全漏洞的攻击将被阻止并且被记录下来细节。
但是,那个利用安全漏洞的攻击来自哪里?它是一个内部的威胁,还是来自另一个国家的更高级的攻击?它是如何通过网络层安全控制的?回答这些问题的唯一的途径是查看网络本身,特别是查看网络层安全事件以及网络流信息。
当我们看到某些东西试图在一个保护的主机上执行应用程序的恶意企图的时候,我们能够由直觉知道这个应用程序是恶意的并且相应地调整我们的黑名单。换句话说,我们根据从主机上获得的情报和在网络层的环境中进行的评估创建一个我们推断是恶意的“智能名单”。
只有使用这种水平的自动化智能和网络层得意识才能用网络层安全控制检测出最高级的攻击并且把这些攻击封锁在网络周围。因为如果网络让这个攻击进入,这个攻击最终将找到自己的滩头阵地:没有很好地保护的台式电脑、服务器、打印机或者一些其它设备。
有许多隐蔽的、变异的和高级的恶意软件。因此,如果一个攻击成功地登陆,它将在发现漏洞之前攻破系统。当网络和主机安全是坚固的,攻击者就很难咬动这个安全的大塘块。#p#
观点2:网络安全完全取决于端点
Sophos技术战略主管James Lyne称,急剧变化的攻击方式、漫游用户、过多的需要保护的平台和对更多的数据进行加密的日益增长的需求是让端点安全成为提供安全的重要控制措施的因素。
加密因素本身就迫使人们改变思维方式。在传输或者数据层进行加密,基于网络的检测将变的不现实,使网络设备无法做自己的工作。另一方面,端点能够看到加密前的数据,允许对通讯进行性能检测。
而且,在端点有更多的环境背景用于安全活动。这个因素越来越重要。目前在Sophos实验室,我们每天看到9.5万个单个的恶意代码,每一秒钟能够发现一个新的被感染的网页,恶意软件的数量和质量在过去的几年里惊人地增长。在过去的25年里一直使用的基于内容的检测技术对于这种大量的恶意代码正在日益失效。在端点,应用程序、数据、行为和系统健康的可见性可用于做出更准确的决策和更好的预先防御。
比较一个例子,设法识别和阻止Skype的任务(还没有恶意代码那样复杂)。你在端点可以简单地识别出Skype.exe(使用各种机制)。而要在网络中实现这个目的,你需要解码数据包。由于数据包有数千种格式,这个任务是很困难的。恶意代码经常伪装成合法通讯的其它格式。
更多的用户还从路上访问数据和应用程序,目前在许多情况下是使用云服务。如果这个通讯没有回程通过企业,网络安全就失去了过去在外围和网络结构上提供的可见性。因此,无论设备在什么地方都需要拥有检查被感染的网站的URL地址等一些安全能力,即使这个设备不在网络上的时候也要有这种能力。端点和基于云的保护能够实现这个目的。
然而,网络安全比端点安全更容易部署,因为企业能够在网络的几个地方部署安全措施,不用在每一台PC上部署安全措施。然而,当安全出行错误或者一台设备被感染的时候,端点保护可提供清除恶意代码和避免损失或者缓解问题的能力。这是网络层安全做不到的。
公平地说,在端点是一个不停的战斗,因为许多恶意软件的设计都是要关闭端点安全软件。从网络监测恶意软件没有这个问题。好消息是:在端点的恶意软件在试图感染其它软件或者拨号回家的时候能够被监测出来。
总之,这两种形式的安全对于防止现代的威胁都是很重要的。过去在网络上提供的一些安全功能需要过渡到端点,以便提供有效性和兼容新的大量的漫游用户。
相反,网络解决方案能够覆盖不可能部署代理程序的设备、来访客户或者被恶意软件关闭了端点软件的系统。在网络解决方案中,网络级的攻击和嗅探更容易发现。
由于有这样大量的恶意软件和更多的有针对性的攻击,你运行的层次越多,你撒下的捕捉网络犯罪分子的网就越大。在未来几年里,许多安全传统将受到挑战并且被改变。但是,这两种方法将继续提供价值。
传统的端点和网络安全一直被不同的团队当作隔离的区域。为了应对更广泛的威胁和新的设备,让它们配合工作以便提供更好的安全是有许多好处的。在网络、端点和云之间共享信息毫无疑问是现代安全的发展方向。
怎么抵挡ddos的攻击
除防火墙外 也有办法抵挡dos攻击的硬防很贵 我是不愿意去买 而且效果也不是很明显
该文章来自 黑客基地 本人试过 虽说不能100%抵挡dos但是效果肯定是有的
近年来很多知名的网络专家来开发DoS攻击的解决办法,但是目前为止收效不大,这是因为DoS攻击利用了TCP协议本身的弱点。 DoS攻击即使使用相对简单的攻击方法,也可以使目标系统完全瘫痪,甚至破坏整个网络。 所以导致Extreme Networks认为,只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置,并安装专门的DoS识别和预防工具,才能最大限度地减少DoS攻击所造成的损失。 建立这样一个全面系统的网络安全体系,网络的基础架构必须是以三层交换和路由为核心的智能型网络,并在此基础上,提供完善的三层以上的安全策略管理工具,并提供对专业的安全管理软件支持的能力。 Extreme Networks 一直是三层及多层交换技术的领导者,在为用户提供强大的带宽和速度的同时,也具备一套非常完善的网络管理工具,特别是针对DoS最难以解决的流量型攻击, Extreme Ware管理套件提供了有效的识别机制和强硬的控制手段。 将最先进的三层交换技术和多层安全防范体系结合起来,是认真考虑抵抗DoS攻击的用户的最佳选择。 而且在进行网络的设计阶段,就应该从局域网层面和网络传输层面进行合理的布置。 局域网层面问题 在局域网层面上,系统管理员可以采取大量的预防措施,防止DoS攻击带来的服务不能效应。 这些预防措施包括:保持坚实的整体管理和安全程序,针对各类DoS攻击,实施特定的防卫措施等等。 与特定DoS攻击类型有关的其它方法可以包括:关闭或限制可能被损坏或暗中破坏的特定服务。 遗憾的是,这些限制措施还必须与其可能给合法应用(如采用UDP作为传输机制的 Real Audio) 带来的影响进行权衡。 如果攻击者能够胁迫受害人不使用有益的 IP服务或合法应用,那么在一定程度上,这些黑客已经达到了自己的目标。 网络传输层问题 尽管局域网管理员采取的措施在防止和抗击DoS攻击的基础工作中发挥着关键作用,但它们还必须在网络传输层实现某些完善的措施,以对基础工作进行有效补充。 保护网络数据流量 有效地保护网络数据流量涉及大量的互补战略,包括采用多层交换,实现独立于层的访问控制;利用可定制的过滤和“信任邻居”标准;控制非授权用户的网络登录访问。 独立于层的线速服务质量(QoS)和访问控制选项 带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换系统的出现,大大改善了网络传输设施保护数据流量完整性的能力。 在基于传统路由器的网络设施中,认证机制如滤除带有内部地址的假冒分组,要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。 由于要维护访问控制列表,这一过程不仅耗时巨大,而且给整体路由器性能带来了重大开销。 相比之下,使用线速多层交换系统允许灵活实现各种基于策略的访问控制标准,它使用许多相同的机制,这些机制对在整个复杂网络设施中有效地实现QoS标准至关重要。 尽管这些多层交换系统在第二层执行线速交换功能,但它们能够从第一层到第四层及其它信源无缝地采用QoS和访问控制标准。 这种独立于层的访问控制能力实现了内置灵活性,把安全决策与网络结构决策完全分开,从而允许网络管理员有效地部署DoS预防措施,而不必采用次优的路由或交换拓扑。 结果,网络管理员和服务供应商现在能够把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管其采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换本地环路。 此外,线速处理标准查表和数据流量认证决策,可以在后台有效执行DoS应对措施,而很少或没有性能延迟。 可以定制的过滤和“信任邻居”机制 智能多层访问控制的另一优点是,它能够简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制力度。 通过这种方式,可以防止网络受到DoS攻击的影响,同时降低因疏忽丢弃合法流量的危险。 独立于层的访问控制的另一个优点是,它能够定制路由访问策略,支持具体系统之间“信任邻居”关系,从而管理和优化系统间的数据流量。 此外,多层交换技术提供了多种选项,可以防止未经授权使用内部路由策略,及防止潜在的破坏活动。 Extreme Networks(r)公司的Extreme Ware(tm)套装软件允许映射和覆盖IEEE802.1p和DiffServ标记,实现外部看不到的DiffServ功能。 通过使用这些策略机制,系统管理员可以针对来自特定相邻系统的流量,调整内部路由控制策略,而不是在内部强制广播实际策略。 由于能够灵活地区分内部和外部DiffServ和IEEE802.1p标准,ExtremeWare为防止新一轮潜在DoS攻击(称为QoS攻击)提供了有效的工具。 Extreme Ware能够维护不可视的内部DiffServ处理策略,使得所有Extreme交换机都能够简便地忽略、观察或处理从可能“不信任的邻居”收到的任何DiffServ标记。 定制网络登录配置操作 网络登录机制的采用在减少DoS攻击漏洞中发挥着关键作用。 网络登录采用惟一的用户名和口令,在用户获准进入或传送分组流量前认证用户身份,从而防止认证前发生DoS攻击的危险。 通过利用DHCP模拟拨号技术采用PPP的方式,网络登录可以终止网络边缘的非法访问,减轻给网络设施带来的任何消极影响。 Extreme Networks公司的技术团队成员参与编写了IEEE802.1草案,通过利用其中包含的规范中已有的标准,这些网络登录机制可以控制用户对交换机的访问,最大限度地降低直接DoS攻击的危险。 同时,网络登录为管理和跟踪企业或服务供应商网络内部的用户连接和交易提供了一种强健的机制。
怎样防止局域ARP攻击
ARP病毒也叫ARP地址欺骗类病毒,属于木马类病毒,在发作时会向全网发伪造的ARP数据包,通常会造成网络掉线,内网部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重干扰网线的正常运行,其危害甚至比一些蠕虫病毒还要严重,ARP地址欺骗技术已经成为病毒发展的一个新趋势。 ARP病毒很容易复发,很多朋友在清除病毒后,过一段时间又会反复出现,给日常上网带来了很在的困扰。 它之所以会反复发作,主要是由于目前网页木马都是利用微软的MS06-014和 MS07-017这两个漏洞进入系统里面的,如果没有打好这2个补丁,就很容易再次攻击,同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。 只在做好以下六个安全措施,就可以有效防范这一类病毒:a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。 b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。 此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。 c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。 1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址进行绑定),在交换机和客户端都进行绑定,这是可以使局域网免受ARP病毒侵扰的好办法;2、全网所有的电脑都打上上面所说的2个补丁,可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。 MS06-014中文版系统宁靖下载地址:中文版系统补丁下载地址:、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。 禁用Windows系统的自动播放功能的方法是:在运行中输入,打开组策略,定位到:计算机配置-管理模板-系统-关闭自动播放-已启用-所有驱动器,然后确定即可。 (注:如果你的计算机是WindowsXP Home版,那么可以用TweakUI这个软件来办到这件事4、在网络正常时保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时就会很方便了。 5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC是否正确。 6、部署具有全网监控功能的杀毒软件,如KV网络版,定期升级病毒,定期全网杀毒。
SD-WAN网络意味着什么?
SD-WAN网络出现意味着什么?
随着5G网络的出现,物联网(IoT)应用快速增长,工业自动化、智慧园区、智能安防、大数据、车联网等宽带物联网相关应用纷纷落地。 相对窄带物联网应用,宽带物联网对网络的QoS提出了更高的要求。 IoTN作为物联网连接方案,通过共享边缘POP节点,优化通信协议,云端QoS控制,在现有的基础网络上,优化满足蓬勃发现的宽带物联网发展需求。
随着企业纷纷拥抱数字化转型,以及边缘计算、云服务和混合网络的兴起,传统云安全通过企业数据中心对数据流进行检查的方式在实时、移动和边缘等场景下逐渐失灵,SASE将SD-WAN与零信任访问等一系列安全能力集成,访问决策基于用户身份并在边缘强制执行,而策略则在云中集中定义和管理,可实现安全架构的核心从数据中心向身份的根本性转变。 技术变革往往为新巨头的诞生创造重大机遇,意识到SASE重要价值的厂商和资本已经行动起来。
SD-WAN意为软件定义的广域网,它允许企业智能切换使用包括光纤、5G和宽带等多种网络服务及组合,以创建一个更灵活、顺畅、易管理的互联网连接,让公司可以低成本跨越数千个终端扩展基于云的应用。
当前,SD-WAN的边界正向更深更广的方向延伸,不仅限于广域网边缘,还包括网络边缘,从而能实现网络边缘与广泛分布的本地端点和基于云的端点之间的连接。
发表评论