防火墙应对外部攻击
当提起“网络安全”“访问控制”时,我们通常马上会想到“防火墙”。确实,很多客户都通过在企业网络中部署防火墙,执行访问控制策略,从而提高企业的网络安全水平。
例如:我们可以在企业的服务器网段前部署防火墙,对访问终端的IP地址进行检查,只允许内部PC访问服务器,如图1所示。
图片1
通过部署防火墙执行访问控制,我们可以阻止外部Internet的黑客对服务器发动攻击。
内部攻击防不胜防
然而,当黑客发现不能直接从外部网络攻击服务器时,他们可以采用一种间接的方法,以内部员工的计算机为跳板,实现对服务器的攻击。一般方法是:通过各种手段(例如:网页挂马,社会工程邮件等)在员工的计算机上安装木马,控制内部员工的PC,然后从内部员工的PC上发动对服务器的攻击。如图2所示。
图2
面对这种类型的攻击,防火墙是无能为力的。问题的根源在哪里呢?
我们可以对比一下民航安保的过程。
首先,当乘客进入候机大厅时,安检人员会检查乘客的身份证。
其次,安检人员会扫描乘客所携带的随身物品,以确保没有危险物品被带上飞机。
最后,在飞行途中,当乘客有危害航空安全的行为时,飞机上的空警会予以制止。
对比民航安保的过程,我们可以发现,防火墙执行访问控制,相当于检查了乘客的身份证(限制只有内网计算机才能访问服务器)。但对终端的安全状态(是否已经中了木马)没有做进一步的检查;对终端的访问行为(是否使用恶意软件攻击服务器)没有做进一步的限制。
总结来说,防火墙只检查终端的IP地址,接下来就默认终端是安全的,终端的访问行为是合法的;黑客正是利用这一安全漏洞,以内部终端作为跳板,发起对服务器的攻击。
我们可以对比一下民航安保的过程。
首先,当乘客进入候机大厅时,安检人员会检查乘客的身份证。
其次,安检人员会扫描乘客所携带的随身物品,以确保没有危险物品被带上飞机。
最后,在飞行途中,当乘客有危害航空安全的行为时,飞机上的空警会予以制止。
对比民航安保的过程,我们可以发现,防火墙执行访问控制,相当于检查了乘客的身份证(限制只有内网计算机才能访问服务器)。但对终端的安全状态(是否已经中了木马)没有做进一步的检查;对终端的访问行为(是否使用恶意软件攻击服务器)没有做进一步的限制。
总结来说,防火墙只检查终端的IP地址,接下来就默认终端是安全的,终端的访问行为是合法的;黑客正是利用这一安全漏洞,以内部终端作为跳板,发起对服务器的攻击。
跨界组合实现纵深防御、立体安全
如何面对这一新型的安全威胁?专家认为,将网关安全产品和终端安全产品组合在一起,形成更加有效的纵深防御体系,是有效的解决办法之一。但目前具备跨界组合实力的安全厂商并不多。也正因如此,近日启明星辰发布的UTM2 网关•终端统一安全套件引起了业界普遍关注。
据了解,UTM2可以统一管理网络边界,同时在网关和终端进行安全控制,对整个网络边界执行统一的访问控制策略、统一配置、统一监控,从而将企业IT管理的范围从网络边界的网关设备推进到终端PC,确保网络安全无盲点。其部署如图3所示。
首先,天清汉马UTM部署在内部服务器前,当终端访问服务器时,UTM会检查终端的身份,检查终端上是否安装了启明星辰天珣客户端软件,以及终端是否满足安全状态要求。
其次,天珣客户端会保护终端,避免遭到恶意代码的侵入,维持终端的安全状态。
最后,天珣客户端会限制终端访问内部服务器的进程,确保只有合法的软件才能访问服务器(例如:只允许IE访问WEB业务服务器),防止终端上的非法软件(比如暴力扫描破解,SQL注入,DDOS工具等)攻击服务器。
图3
UTM2 通过组合网关终端,两者之间协同工作、相互保护,实现纵深防御、立体安全。在防火墙的基础上,为企业提供更加完善的网络安全。
