为了主动应对并控制员工对公共互联网的访问,以及检测和阻止恶意软件、勒索软件以及钓鱼攻击等恶意内容,已经有越来越多的企业开始部署安全Web网关(SWG)。
最初的[SWG](http://www.akamai.com/blog/news/anyone-for-alphabet-soup-ztna-swgs-
mfa-and-more-lessons-learned
“SWG”)主要以物理或虚拟装置的形式部署在企业数据中心内,由于大部分员工都在线下(公司设施内部)工作并已经连接到企业网络,因此可以通过非常简单直观的方式将互联网流量发送给此类装置。如果需要远程办公,员工可以使用虚拟专用网络(VPN)将互联网流量回传到数据中心,以应用企业需要的安全控制。
不过,在“新常态”的当下,情况不同了……
一个全新的(安全)世界
今时不同往日。诚然,一些企业出于合规方面的考虑,依然需要将安全设备部署在本地环境中。然而至今依然在使用本地[安全Web网关](http://www.techrepublic.com/article/akamai-
adds-secure-web-gateway-capabilities-to-threat-service/
“安全Web网关”)的企业数量正在飞速减少,大部分企业已经开始转为使用基于云的安全Web网关。
此外,以前使用本地安全设备的时候,员工的工作其实是和分配给自己的公司电脑密切绑定的。但现在,很多企业选择了一种[支持采用任何设备在任何地方完成工作的完全远程或混合办公模式](https://link.zhihu.com/?target=https%3A//www.akamai.com/blog/security/securing-
the-enterprise-network-for-the-office-anywhere
“支持采用任何设备在任何地方完成工作的完全远程或混合办公模式”)。
基于云的安全Web网关
通过云平台交付的SWG解决了本地设备固有的一些问题,例如可扩展性和持续的设备管理与维护,并为全新工作模式提供了所需的灵活性。
然而无论员工身处何地或使用任何设备,都需要为他们提供一致的安全保障,这种目标也造成了新的挑战,更具体来说,这些挑战主要在于与SWG有关的上行流量。
本文(以及同一系列的下一篇文章)将探讨:在评估各类SWG解决方案时,为何需要着重考虑能否通过各种方式将上行流量传入基于云的SWG,以及这种能力的重要性。
基于DNS的保护:DNS重定向和DNS转发
为了帮助大家尽可能充分地理解,首先让我们一起看看DNS重定向和DNS转发,毕竟这是保护互联网流量最快速、简单的方法。这种方式通常更多会与DNS防火墙解决方案(而非SWG)配合使用,并且这种方法能提供很多优势。
简单来说,DNS防火墙会检查组织中员工发出的每个DNS请求,并将请求的内容与一个已知的恶意域名列表进行对比。防火墙会阻止对恶意域名的访问,并允许对安全域名的访问。此外,这种防火墙还可以识别并阻止被攻陷设备与命令和控制(C2)服务器之间的流量,甚至可以检测DNS渗透。
通过将流量重定向或转发到云端防火墙,所有这些安全收益都可以在几分钟内顺利实现。如果进行重定向,企业只需要对现有的递归DNS服务中快速修改一个设置,即可将流量发送给防火墙。
另一种方法是部署DNS代理,这种方式主要会部署一种虚拟设备,并配置该设备将DNS流量转发给云端防火墙。使用代理还能获得一个额外的好处:可以识别发出请求的设备,从而进行有针对性地补救。
选择性代理的好处
DNS重定向和转发还可以与选择性代理(Selective
proxy)一起使用,进而获得更深入的洞察力并对互联网流量进行更细化的控制。使用选择性代理的情况下,除了可以阻止或允许DNS流量,还可以在威胁列表中将特定域名标记为有风险的。当有请求希望访问有风险的域名时,防火墙会返回云代理的IP地址,随后设备可与代理建立连接。
然后,代理可以检查设备希望访问的URL,借此判断内容是安全的还是恶意的,这在某些情况下可以提供额外的保护,例如某个域名下可能同时存在安全和恶意的内容。使用选择性代理方法一个最重要的好处在于:可以阻止有风险的内容,但同时也能将代理破坏应用程序的风险降至最低。
为任何位置的客户端提供保护
众所周知,当今的员工已经不再只通过一个固定位置工作,而是可以在任何能访问网络的地方工作:例如在家里的书房通过Wi-
Fi连接网络,或在家附近的咖啡馆里,甚至会在任何地方通过蜂窝网络建立连接。
为了保护这些设备并应用必要的安全控制,企业需要在设备上部署客户端软件。软件保证了无论设备通过何种方式连接到互联网,互联网流量均可路由至云端的安全Web网关。客户端软件的另一个优势在于,可以借此识别发出请求的不同设备。
这类客户端软件通常可用于台式机和笔记本电脑的操作系统,同时也应该能支持移动设备的操作系统;应该能提供基于DNS的保护、选择性代理保护,以及完整的代理保护。
将所有Web流量发送给SWG
如果需要进一步提高安全性,还可将所有HTTP与HTTPS流量发送给云端SWG。此时一种常见做法是使用Internet Protocol
Security(IPsec)隧道将Web流量引导至SWG以供扫描。
但这需要配置本地基础设施(例如防火墙或SD-
WAN控制器),这样才能以最优化且安全的方式将流量从分支位置传输至总部的SWG。IPSec的另一个好处在于,所有Web流量都会被加密,这也进一步保护了内部IP地址等私密信息。
HTTP/S流量转发
除了配置IPsec隧道,我们还可以在本地部署HTTP/S代理,通常这种代理是以虚拟机的形式部署的。这样的代理可以将所有HTTP和HTTPS流量通过TLS加密隧道转发至云端SWG,优势之一在于可以部署多个转发器,借此对大规模流量实现负载均衡,从而改善可扩展性。此外这种方式还有助于提高服务的可靠性。
HTTP/S流量转发还能简化从本地SWG的过渡,因为这种转发器可以看作本地安全设备的替代品。一旦过渡到基于云的SWG并确认一切都能正常工作,即可剔除转发器,直接通过IPSec处理所有流量。
代理链
如上文所述,基于云的SWG是最主要的部署方法,然而对于依然在本地使用安全设备,但希望迁移到云端安全设备的企业来说,切换过程本身就是一个巨大的挑战。
为简化迁移过程,企业可以通过代理链(Proxy
chaining)配置现有安全设备,使其将HTTP和HTTPS流量转发至云服务。借此企业可以充分测试新服务,当确保一切都能如期工作时,即可移除本地设备,并激活IPsec或HTTP/S流量转发。
选择适合的形式和方法
在了解了将流量陆续转移至云端SWG的不同方法后,大家很可能会问:企业是否需要[选择](http://www.akamai.com/resources/white-
paper/how-to-select-a-cloud-based-secure-web-gateway
“选择”)一种特定的方法?根据具体用例和所需的保护程度来[选择适合的方法](https://link.zhihu.com/?target=https%3A//www.akamai.com/site/en/documents/white-
paper/how-to-select-a-cloud-based-secure-web-gateway.pdf “选择适合的方法”)是否能获得更多收益?
一个用例
让我们以Acme
Manufacturing为例来回答这些问题。Acme在全球范围内有上万名员工,在芝加哥和伦敦设立了大型总部,此外还有数十个分支办公室以及四个大型制造厂。只要工作角色允许,Acme的员工现在都会远程办公。此外,虽然Acme已经开始转向云计算,但他们的总部依然运行了自己的数据中心。
对于这家制造业公司来说,某一种具体的方法是无法满足所有需求的。下表根据不同用例列出了Acme选择的不同方法,并介绍了每种方法所能提供的保护程度。
| 用例 | 流量转发方法 | 提供的安全保护 |
|---|---|---|
| 总部和工厂 | HTTP转发器 | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 分支位置 | IPsec隧道(通常通过SD-WAN的集成) | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 来宾Wi-Fi | DNS重定向 | 为访客提供基于DNS的简单保护 |
| 数据中心 | DNS转发 | 为服务器流量提供基于DNS的“城墙” |
| 远程员工 | 客户端软件 | 选择性或完整的代理保护 |
根据用例选择适合的方法,每种方法提供了不同的流量转发方式和保护程度
总结
鉴于工作方式不断变化,每个企业需要支持的用例多种多样,因此通过多种方法将流量转向云端安全Web网关是一种非常重要的能力。为实现所需安全程度,很多企业会同时使用多种方法。
[Akamai Secure Internet Access](http://www.akamai.com/products/secure-
internet-access-enterprise “Akamai Secure Internet Access”)
Enterprise是一种基于云的SWG,可支持多种流量传输方式,从而最大限度实现部署灵活性。在这一系列的下篇文章中,我们将探讨SD-
WAN如何通过集成能力,利用Akamai的映射,将流量自动路由至距离用户最近的Secure Internet Access
Enterprise接入点,从而实现最优化的性能。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
4355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
