常見網(wǎng)絡(luò)安全防御體系

1、常見網(wǎng)絡(luò)平安防御體系2019-07-18 18:00. sohu. com/a/327801341_99920976大多數(shù)互聯(lián)網(wǎng)公司的業(yè)務(wù)開展都依賴互聯(lián)網(wǎng)，所以我們這里討論的是基于數(shù)據(jù)中心/ 云環(huán)境下的業(yè)務(wù)網(wǎng)絡(luò)平安問題。%奧航智訊常見網(wǎng)絡(luò)平安防御體系大多數(shù)互聯(lián)網(wǎng)公司的業(yè)務(wù)開展都依賴互聯(lián)網(wǎng)，所以我們這里討論的是基于數(shù)據(jù)中心/ 云環(huán)境下的業(yè)務(wù)網(wǎng)絡(luò)平安問題。甲方平安的主要職責(zé)是保護(hù)公司互聯(lián)網(wǎng)業(yè)務(wù)的平安, 比方業(yè)務(wù)持續(xù)性，業(yè)務(wù)數(shù)據(jù)的私密性，所以要優(yōu)先解決以下問題：抗DDOS攻擊，保障業(yè)務(wù)的持續(xù)性；防拖庫，保護(hù)業(yè)務(wù)數(shù)據(jù)的私密性，放置用戶數(shù)據(jù)，交易數(shù)據(jù)等核心數(shù)據(jù)被竊取;放后門，防止黑客非法獲取服務(wù)器權(quán)限。

2、邊界防御體系 常見的防御體系是邊界防護(hù)，從UTM到下一代防火墻，WAF都是這一體系的產(chǎn)物， 這類體系強(qiáng)調(diào)御敵于國門之外，在網(wǎng)絡(luò)邊界解決平安問題。優(yōu)勢是部署簡單，只要在 網(wǎng)絡(luò)邊界部署平安設(shè)備就行了，似乎包治百病;但弱點也很明顯，一旦邊界被黑客突破, 即可以長驅(qū)直入。有人打過一個比方，稱這種防御體系是城堡體系，防御都在城墻， 防護(hù)住了還好，沒防住就只能讓敵人進(jìn)城屠城了?？v深防御體系縱深防御體系是對邊界防御體系的改進(jìn)，強(qiáng)調(diào)的是任何防御體系都不是萬能的，存在 黑客可以突破防御措施的概率，所以縱深防御體系的本質(zhì)就是多層防御，就好比在城 堡周圍建設(shè)了好幾道防御，城堡又分為外城和內(nèi)城，內(nèi)部重要設(shè)施還配備專職

3、首位俄, 黑客必須突破好幾層才能接觸到核心數(shù)據(jù)資產(chǎn)，能大大提高本錢。縱深防御的理念在 很長一段時間內(nèi)都是成功的，因為黑客攻擊也是有本錢的，不少黑客久攻不下，就開 始想其他方法了。大型的傳統(tǒng)平安廠商一般都會有縱深防御的解決方案。 TOC o 1-5 h z 網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)層 、服務(wù)器端I數(shù)據(jù)庫端:匕隴南刃J信史全0 J 一6.吳航曾訊 HYPERLINK l bookmark6 o Current Document 縱深防御體系縱深防御體系在Web領(lǐng)域至少會包含下面幾層，數(shù)據(jù)庫端，服務(wù)器端，網(wǎng)絡(luò)層，網(wǎng)絡(luò)邊界。優(yōu)點 是每個產(chǎn)品功能定位清晰，允許不同品牌產(chǎn)品混用，攻擊本錢較高，平安性較好，不 足之處

4、是各個產(chǎn)品之間缺乏協(xié)同機(jī)制，如盲人摸象，各自為政，檢測手段多是基于規(guī) 那么和黑白名單，對于抱有經(jīng)濟(jì)政治目的的專業(yè)黑客，攻克這種防御體系也只是時間問 題。需要說明的是，完整的縱深對抗方式其實還會包括服務(wù)器內(nèi)核級別檢測和對抗。 對應(yīng)的平安產(chǎn)品：數(shù)據(jù)庫端：數(shù)據(jù)庫審計，數(shù)據(jù)庫防火墻服務(wù)器端：主機(jī)IDS,服務(wù)器殺毒，內(nèi)核加固類產(chǎn)品，主機(jī)waf網(wǎng)絡(luò)層：IDS, Web威脅感知,Web審計網(wǎng)絡(luò)邊界：防火墻，UTM, WAF, IPS,本地流量清洗設(shè)備河防體系騰訊Iake2提出的河防體系，防御方要贏就要靠一個字，控，即把對手控制在一個 可控范圍，在用豐富的資源打敗他?；氐狡髽I(yè)入侵防御上來，控的思路就是步步為

5、營，層層設(shè)防，讓黑客即使入侵進(jìn)來也是在可控的范圍內(nèi)活動。具體措施就是要在隔 離的基礎(chǔ)上，嚴(yán)格控制辦公網(wǎng)對生產(chǎn)網(wǎng)的訪問，同時在對生產(chǎn)網(wǎng)內(nèi)部進(jìn)行隔離的基礎(chǔ) 上進(jìn)行邊界防護(hù)以及檢測。河防體系特別適合數(shù)據(jù)中心用戶，而且從業(yè)務(wù)規(guī)劃就融入 平安管控的公司，對于具有一定開發(fā)能力的公司，如果打算自助建設(shè)平安體系可以參 考該體系。塔防體系數(shù)字公司提過屢次塔防體系，塔防體系本質(zhì)上也是縱深防御，不過優(yōu)于縱深防御的是 強(qiáng)調(diào)了終端要納入平安防御網(wǎng)絡(luò)中，具有自我防御能力，并且有了云的管控能力和威 脅情報數(shù)據(jù)。平安態(tài)勢鎮(zhèn)如平安Aph開放的API平安設(shè)新H平安設(shè)新H志采集平安設(shè)新H志采集原蛤流川還原隴南網(wǎng)信史1下一代平安設(shè)新H志采集原蛤流川還原隴南網(wǎng)信史1下一代縱深防御體系 下一代Web縱深防御體系突破了傳統(tǒng)基于邊界防護(hù)平安的設(shè)計的概念，從網(wǎng)絡(luò)主機(jī), 數(shù)據(jù)庫層面，依托人工智能技術(shù)以及沙箱技術(shù)，結(jié)合威脅情報提供提供全方位的Web 縱深防護(hù)，從傳統(tǒng)邊界防護(hù)過度到新一代的基于預(yù)測，檢測，協(xié)同，防御，響應(yīng)，溯源理念的Web縱深防御。威脅情報好比是積