ISC2015听会小计

今天，冒雨去国家会议中心听取ISC2015大会，期间有些许收获，记录、分享：

1.个人感觉云计算安全与传统网络安全，在防御方面最大的不同是：传统网络防御可以把待防御对象看成信息孤岛，因此，边界性很强;然后开一个门，并设立看门狗，来保证子网安全，这建立在对子网人员可信的基础上;而云计算是开放的，任何人，只要按规则申请，都可以成为云租户，安全边界难以界定，这是云计算最大的问题，安全人员不再信任每一个云租户，可信的基础消失。

2.IPS VS WAF：专门针对web应用设计的防火墙，有人将WAF比喻为保镖，将IPS比喻为保安，保镖只对特定的老板负责，并为其量身定做安全防护措施，保安却负责整个楼宇的安全检查工作。WAF一般以反向代理的模式存在，仅处理web相关协议，主要技术手段为基于上下文的语义分析;而IPS以桥接的模式存在，机制为包转发，将处理网络中所有的流量，集中处理网络层、传输层，主要技术手段为模式匹配。

3.看见是最重要的一种安全能力

附上网上相关文章加深理解

最近又有新闻报道称有大规模的用户名密码泄露的事件发生，一时间炒的沸沸扬扬，真是应了一句话：这世上只有两种企业，一种是被黑的，一种是不知道自己被黑的。Gartner也有研究报告称大多数企业发生了安全事件而不自知，其中很多还是被外人叫醒的。导致如此现状的根本原因不是企业不在乎安全建设，很大程度上是因为现在的攻击手法愈发隐蔽。

　　那企业如何在极其隐蔽的攻击面前保全自己呢？答案便是看见二字。我们认为看见不是一个词，而应该将二字分开来解读。因为看和见是两种企业需要具备的安全能力。知己知彼才能百战不殆，如果敌人永远处于黑暗之中，那么我们就无法有效构筑防御工事。自然地，费心所做的安全防御就变成了样子工程，因为无法看到攻击是如何来，如何走，借助了什么途径，附着于什么载体等。因此，新时代的网络安全必须要具备看见的能力。

　　看，即观察。

　　企业需要在网络中的不同位置都能够有观察哨来监测网络中的一举一动。比如在Web服务器前端，数据库服务器前端，APP服务器前端，以及不同部门和安全域之间，都应该部署相应的安全设备作为观察哨进行流量监测。然而，看，并不一定就能见，因为攻击者会以很多种手段来规避安全设备的检测，比如混淆、加壳、加密、压缩、伪装等。传统的安全设备，只能看到普通的如海一般的网络流量，如果要做到行之有效的防御，还要看到海面下的暗潮和礁石，甚至是鱼雷。

　　见，在古文中也通现，即出现、显露之意。

　　这就如同，在玩网络游戏的时候都会遇到能够潜行、隐身的敌人，而惯用的解决方案就是插观察眼或者将防御塔升级为能够反潜的塔。回到安全领域就是把防火墙、IPS都升级为下一代防火墙和下一代IPS，提升网关类安全设备的反混淆、脱壳、深度识别的能力。但是这都还是基于传统签名的检测方式，面对无签名的样本，就显得力不从心了。而现今大多数的攻击之所以很隐蔽，正是使用了大量临时构造的攻击工具，轻松穿透了基于签名检测的安全设备，让这些设备只能看到流量，却不见其真容。因此，基于行为的流量检测就显得尤其重要了，基于行为的检测可以让观察哨把看不清的样本发送过来进行虚拟执行，观察行为，是否更改了注册表，访问了外部的恶意链接，下载了新的文件，还是在本地创建了文件诸如这样的行为。在此基础上进行全方位的评分，进而判断该样本是恶意的还是无害的。

　　作为全球领先的高性能网络安全解决方案提供商，以及全球第三大网络安全设备供应商，Fortinet始终以前瞻的行业洞察为用户解决切实的安全问题。在Fortinet的解决方案中，我们也希望将看见的能力赋予我们的用户，让用户不止能够看到网络流量，更能够看到流量下暗藏的威胁。

　　在接入层面，Fortinet的安接入解决方案能够让用户看到接入网络中的用户、设备，以及其产生的流量、应用、内容，更可以看到周边的SSID，以发现并抑制欺诈和钓鱼AP。

　　在企业网层面，Fortinet拥有以FortiSandbox沙盒产品为核心的基于行为的高级威胁防御解决方案，当Fortinet的安全客户端、下一代防火墙、反垃圾邮件和Web应用防火墙发现可疑文件时，会将其发送到FortiSandbox中进行行为检测，并能够执行实时阻断。不仅让用户拥有看见的能力，还为用户提升了安全响应的速度，有效应对如今的高级威胁攻击。

　　在数据中心层面，Fortinet以虚实结合的方式为数据中心解决东西向和南北向的流量安全问题，通过高精细的应用识别，能够发现数据中心中运行的虚拟机肉鸡，并阻断其连接，还可以执行下一代防火墙具备的安全功能，以及数据防泄漏等企业如今十分需要的安全功能。

　　为了让用户也能够进一步感验到这样“看与见的能力”，Fortinet推出了CTAP网络威胁评估服务，用户可以免费体验Fortinet解决方案在不同的应用场景下流量、应用、用户、设备这些元素在网络中使用情况，面临的安全威胁与怎样的威胁防御是有效且到位的。

网络边界---安全防护思想的演进

Jack zhai

 

 

一、             网络边界上需要什么

人们为了解决资源的共享而建立了网络，然而全世界的计算机真的联成了网络，安全却成了问题，因为在网络上，你不清楚对方在哪里，泄密、攻击、病毒…越来越多的不安全因素让网络管理者难以安宁，所以把有安全需求的网络与不安全的网络分开，是没有办法的选择，分离形成了网络的“孤岛”，没有了连接，安全问题自然消失了。然而因噎废食不是个办法，没有连接，业务也无法互通，网络孤岛的资源在重复建设、浪费严重，并且随着信息化的深入，跑在各个网络上业务之间的信息共享需求日益强烈，比如：政府的内网与外网，需要面对公众服务；银行的数据网与互联网，需要支持网上交易；企业的办公与生产网，老总们的办公桌上不能总是两个终端吧；民航、铁路与交通部的信息网与互联网，网上预定与实时信息查询是便利出现的必然……

把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些：

与非安全网络的互联面临的安全问题与网络内部的安全是不同的，主要的原因是攻击人是不可控的，攻击是不可溯源的，也没有办法去“封杀”，一般来说网络边界上的安全问题主要有下面几个方面：

1、  信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式：

²        攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密

²        合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密

2、  入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。

3、  网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。

4、  木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵尸网络”。

来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。

由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种：

1、               黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。

2、               病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。

3、               网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断。

 

二、             边界防护的安全理念

我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。

如何防护边界呢？对于公开的攻击，只有防护一条路，比如对付DDOS的攻击；但对于入侵的行为，其关键是对入侵的识别，识别出来后阻断它是容易的，但怎样区分正常的业务申请与入侵者的行为呢，是边界防护的重点与难点。

我们把网络与社会的安全管理做一个对比：要守住一座城，保护人民财产的安全，首先建立城墙，把城内与外界分割开来，阻断其与外界的所有联系，然后再修建几座城门，作为进出的检查关卡，监控进出的所有人员与车辆，是安全的第一种方法；为了防止入侵者的偷袭，再在外部挖出一条护城河，让敌人的行动暴露在宽阔的、可看见的空间里，为了通行，在河上架起吊桥，把路的使用主动权把握在自己的手中，控制通路的关闭时间是安全的第二种方法。对于已经悄悄混进城的“危险分子”，要在城内建立有效的安全监控体系，比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织，每个公民都是一名安全巡视员，顺便说一下：户籍制度、罪罚、联作等方式从老祖宗商鞅就开始在秦国使用了。只要入侵者稍有异样行为，就会被立即揪住，这是安全的第三种方法…

作为网络边界的安全建设，也采用同样的思路：控制入侵者的必然通道，设置不同层面的安全关卡，建立容易控制的“贸易”缓冲区，在区域内架设安全监控体系，对于进入网络的每个人进行跟踪，审计其行为……

 

三、             边界防护技术

从网络的诞生，就产生了网络的互联，Cisco公司就是靠此而兴起的。从没有什么安全功能的早期路由器，到防火墙的出现，网络边界一直在重复着攻击者与防护者的博弈，这么多年来，“道高一尺，魔高一丈”，好象防护技术总跟在攻击技术的后边，不停地打补丁。其实边界的防护技术也在博弈中逐渐成熟：

 

1、防火墙技术

网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙，防火墙是不同网络互联时最初的安全网关。

防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。ACL有些象海关的身份证检查，检查的是你是哪个国家的人，但你是间谍还是游客就无法区分了，因为ACL控制的是网络的三层与四层，对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部“看不到”的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而“穿透”了NAT的“防护”，很多P2P应用也采用这种方式“攻破”了防火墙。

防火墙的作用就是建起了网络的“城门”，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可缺的一部分。

防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都好无办法。所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。

 

2、多重安全网关技术

既然一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的…此时UTM设备就诞生了，设计在一起是UTM，分开就是各种不同类型的安全网关。

多重安全网关就是在城门上多设几个关卡，有了职能的分工，有验证件的、有检查行李的、有查毒品的、有查间谍的…

多重安全网关的安全性显然比防火墙要好些，起码对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的，这种方式速度快，不会带来明显的网络延迟，但也有它本身的固有缺陷，首先，应用特征的更新一般较快，目前最长也以周计算，所以网关要及时地“特征库升级”；其次，很多黑客的攻击利用“正常”的通讯，分散迂回进入，没有明显的特征，安全网关对于这类攻击能力很有限；最后，安全网关再多，也只是若干个检查站，一旦“混入”，进入到大门内部，网关就没有作用了。这也安全专家们对多重安全网关“信任不足”的原因吧。

 

3、网闸技术

网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。

网闸只是单纯地摆渡数据，近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”，通过的内容清晰可见，“水至清则无鱼”，入侵与病毒没有了藏身之地，网络就相对安全了。也就是说，城门只让一种人通过，比如送菜的，间谍可混入的概率就大大降低了。但是，网闸作为网络的互联边界，必然要支持各种业务的连通，也就是某些通讯协议的通过，所以网闸上大多开通了协议的代理服务，就象城墙上开了一些特殊的通道，网闸的安全性就打了折扣，在对这些通道的安全检查方面，网闸比多重安全网关的检查功效不见得高明。

网闸的思想是先堵上，根据“城内”的需要再开一些小门，防火墙是先打开大门，对不希望的人再逐个禁止，两个思路刚好相反。在入侵的识别技术上差不多，所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。

后来网闸设计中出现了存储通道技术、单向通道技术等等，但都不能保证数据的“单纯性”，检查技术由于没有新的突破，所以网闸的安全性受到了专家们的质疑。

但是网闸给我们带来了两点启示：1、建立业务互通的缓冲区，既然连接有不安全的可能，单独开辟一块地区，缩小不安全的范围也是好办法。2、协议代理，其实防火墙也采用了代理的思想，不让来人进入到成内，你要什么服务我安排自己的人给你提供服务，网络访问的最终目的是业务的申请，我替你完成了，不也达到目的了吗？黑客在网络的大门外边，不进来，威胁就小多啦。

 

4、数据交换网技术

从防火墙到网闸，都是采用的关卡方式，“检查”的技术各有不同，但对黑客的最新攻击技术都不太好用，也没有监控的手段，对付“人”的攻击行为来说，只有人才是最好的对手。

数据交换网技术是基于缓冲区隔离的思想，把城门处修建了一个“数据交易市场”，形成两个缓冲区的隔离，同时引进银行系统对数据完整性保护的Clark-Wilson模型，在防止内部网络数据泄密的同时，保证数据的完整性，即没有授权的人不能修改数据，防止授权用户错误的修改，以及内外数据的一致性。

数据交换网技术给出了边界防护的一种新思路，用网络的方式实现数据交换，也是一种用“土地换安全”的策略。在两个网络间建立一个缓冲地，让“贸易往来”处于可控的范围之内。数据交换网技术比其他边界安全技术有显著的优势：

1、综合了使用多重安全网关与网闸，采用多层次的安全“关卡”。

2、有了缓冲空间，可以增加安全监控与审计，用专家来对付黑客的入侵，边界处于可控制的范围内，任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。

3、业务的代理保证数据的完整性，业务代理也让外来的访问者止步于网络的交换区，所有的需求由服务人员提供，就象是来访的人只能在固定的接待区洽谈业务，不能进入到内部的办公区。

数据交换网技术针对的是大数据互通的网络互联，一般来说适合于下面的场合：

1、频繁业务互通的要求：要互通的业务数据量大，或有一定的实时性要求，人工方式肯定不够用，网关方式的保护性又显不足，比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻，但又与广大百姓与企业息息相关，业务要求提供互联网的访问，在安全性与业务适应性的要求下，业务互联需要用完整的安全技术来保障，选择数据交换网方式是适合的。

2、高密级网络的对外互联。高密级网络一般涉及国家机密，信息不能泄密是第一要素，也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求，或对大众网络与信息的监管，必须与非安全网络互联，若是监管之类的业务，业务流量也很大，并且实时性要求也高，在网络互联上选择数据交换网技术是适合的。

 

四、             总结

“魔高道高，道高魔高”。网络边界是两者长期博弈的“战场”，然而安全技术在“不断打补丁”的同时，也逐渐在向“主动防御、立体防护”的思想上迈进，边界防护的技术也在逐渐成熟，数据交换网技术就已经不再只是一个防护网关，而是一种边界安全网络，综合性的安全防护思路。也许安全的话题是永恒的，但未来的网络边界一定是越来越安全的，网络的优势就在于连通……

在互联网应用高速发展的同时，承载Web信息系统的Web服务器也面临着巨大安全挑战。因此，针对Web应用层的防御产品WAF（WebApplicationFirewall，Web应用防火墙）产品已经成为构建客户网站安全解决方案的首要选择。
　　根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的统计报告，2011年境内被篡改网站数量多达36612个，其中有不少是.com和.com.cn的域名类网站，甚至有一些.gov.cn域名类网站，网站的安全形势十分严峻。
　　WAF这一防御系统能够保护各网站Web服务器免受应用级入侵，它弥补了防火墙、IPS这类安全设备对Web应用攻击防护能力不足的问题。但是，市场上的WAF产品很多，WAF产品到底具备哪些功能才能满足国内客户对Web服务器防护的需求？客户会陷入功能、性能、易用性的选择性困惑中。事实上，无论是国内还是国外的WAF产品，除了HTTP协议吞吐能力一般必须达到200M至8G之间的最基本的性能要求之外，功能的诉求点概括起来不外乎五个方面，如图所示：
　　首先，WAF产品应该具有Web非授权访问的防护功能。这类攻击会在客户端毫不知情的情况下，窃取客户端或者网站上含有敏感信息的文件，譬如Cookie文件，通过盗用这些文件，对一些网站进行未授权情况下的行为操作，譬如转账等行为，因此，针对这类的防护，需要特别留意。另外，WAF产品必须要具备针对跨站请求伪造（Cross-siterequestforgery，CSRF）攻击的防护功能。
　　其次，WAF产品应该具备对Web攻击的防护功能。这类攻击主要包含了SQL注入攻击和XSS跨站攻击。一般来说SQL注入攻击利用Web应用程序不对输入数据进行检查过滤的缺陷，将恶意的SQL语句注入到后台数据库，达到窃取（篡改）数据，控制服务器的目的。XSS攻击指恶意攻击者往Web页面里插入恶意代码，当受害者浏览该Web页面时，嵌入其中的代码会被受害者的Web客户端执行，达到恶意攻击的目的。另外，WAF产品还应该具备对应用层DoS攻击的防护能力，譬如目前最常见就是HTTPFlood攻击（如：CC攻击），这是WAF产品较高的技术准入门槛。
　　第三，WAF产品应该具备Web恶意代码的防护功能。譬如，WebShell就是一个ASP或PHP木马后门，攻击者在入侵网站后，常常将这些木马后门文件放置在Web服务器的站点目录中，与正常的页面文件混在一起，这就要求WAF产品能准确识别和防护。另外，还有对网页挂马的防护，一般这类攻击的主要目的是让用户将木马下载到本地，并进一步执行，从而使用户电脑遭到攻击和控制，最终目的是盗取用户的敏感信息，如各类账号、密码，因此这类功能也是WAF产品需要具备的基础功能。
　　第四，WAF产品应该具备基本的应用交付能力。应用交付是指应用交付网络（ApplicationDeliveryNetworking，ADN），它借助WAF产品对网络进行优化，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。通常情况下，多服务器负载均衡是WAF产品常见的应用交付形态。
　　最后，WAF产品应该具备Web应用合规功能。应用合规是指客户端或者Web服务器所做的各类行为符合用户设置的规定要求，譬如基于URL的应用层访问控制和HTTP请求的合规性检查，都属于Web应用合规所强调的功能。在国际上PCI-DSS标准、国内相关部门的合规规章制度要求下，尤其是，企业或政府机构中遵从的公安部等级保护的要求下，WAF产品的应用合规已经成为客户十分重视的基础功能。