基于开源软件打造企业网络安全

企业安全建设，涉及网络安全的方方面面，包括从办公网到业务网的防护系统建设和基础加固，涵盖网络从外到内的全过程，涉及网络准入技术、蜜罐与攻击欺骗技术、数据库安全技术、SIEM/SOC系统技术、数据防泄密技术和SDL与代码审计技术，以及威胁情报的落地、风控系统建设，到整个企业的安全态势感知系统建设。

1. 开源软件和商业软件的对比

对比内容	开源安全软件	商业安全软件
可扩展性	通常可以基于大数据架构扩展，可以使用常见的PC服务器组件集群	通常可扩展性差，需要依赖专用硬件盒子
定制化能力	弱	强
支持程度	良莠不齐，部分依赖社区，部分依赖资助的企业	通常都有商业化售后团队支持，不过服务质量也是良莠不齐
建设成本	软件许可免费	购买成本相对较高
后期维护成本	维护成本较大，需要根据实际情况调整策略；安全规则的维护成本较大	安全规则的维护由专业团队维护，每年需要支付一定的服务费

1.1 开源软件

1.1.1 开源软件缺点

开源软件存在可管理型差、运营压力大等问题，尤其在专业性要求特别强的领域，比如APT、防火墙和硬件令牌领域，使用商业安全产品比自己研发工具性价比更高。

1.1.2 开源软件优点

开源软件容易上手、可高度定制、可扩展性强，事实上整个互联网就是基于开源软件发展起来的，使用开源软件在互联网公司做安全也是一个不错的选择。

1.2 使用开源软件的建议

• 在专业性特别强的领域，适合使用有专业公司支持的商业产品，比如APT检测、垃圾邮件、杀毒软件软件、防火墙、抗D和硬件令牌；定制化需求较大，或者性能要求远超过商业产品的，可以使用开源软件，比如主机安全、SOC等；还有一个中间状态
• 还有一个中间状态，定制化需求较少，性能要求也不是特别高，商业产品价格尚能接受，自行开发人力尚可，可以根据实际情况评估，比如WAF、数据库安全产品、蜜罐、漏洞扫描等。

---

2.业务网纵深防御体系建设

甲方安全的主要职责是保护公司互联网业务的安全，比如业务持续性、业务数据的私密性，所以需要优先解决以下问题：

• 抗DDoS，保障业务的持续性，典型案例就是前不久发生在美国的大面积DDoS攻击，连GitHub服务器都未幸免于难；
• 防拖库，保护业务数据的私密性，防止用户数据、交易数据等核心数据被窃取，典型案例就是前不久某公司的账户遭到泄露；
• 防后门，防止黑客非法获取服务器权限。

2.1 常见的防御体系

2.1.1 边界防御体系

最常见的防御体系是边界防护，从UTM到下一代防火墙、WAF都是这一体系的产物，这类体系强调御敌于国门之外，在网络边界解决安全问题。优势是部署简单，只要在网络边界部署安全设备就行了，似乎包治百病；但弱点也很明显，一旦边界被黑客突破，即可长驱直入。

2.1.2 纵深防御体系

• 纵深防御体系是对边界防御体系的改进，强调的是任何防御措施都不是万能的，存在黑客可以突破防御措施的概率，所以纵深防御的本质就是多层防御，就好比在城堡外围建设了好几层防御，城堡又分外城和内城，内部重要设施还配备专职守卫，黑客必须突解好几层才能接触到核心数据资产，能大大提高攻击成本。纵深防御的理念在很长一段时间内都是成功的，因为毕竟黑客攻击也有成本的，不少黑客久攻不下，就开始想其他办法了，最典型的案例就是社工。
• 大型的传统安全厂商一般都会有纵深防御的解决方案。在Web领域至少会包含下面几层，数据库端、服务器端、网络层、网络边界。优点是每个产品功能定位清晰，允许不同品牌产品混用，攻击成本较高，安全性较好，不足之处是各个产品之间缺乏协同机制，如同盲人摸象、各自为政，检测手段多是基于规则和黑白名单，对于0day以及刻意绕过防御的抱有经济、政治目的的专业黑客，攻克这种防御体系也只是时间问题。
• 需要说明的是，完整的纵深对抗方式其实还会包括服务器内核级别检测与对抗，在实际工作中，在以上四个层面如果能有效进行检测与对抗，已经可以解决绝大部分问题了。

对应的安全产品为：

• 数据库端：数据库审计、数据库防火墙。
• 服务器端：主机IDS、服务器杀毒、内核加固类产品、主机WAF。
• 网络层：IDS、Web威胁感知、Web审计。
• 网络边界：防火墙、UTM、WAF、IPS、本地流量清洗设备。

2.1.3 河防体系

• 腾讯lake2提出的河防体系，概念来自“捻乱止于河防”，防御方要赢回就要靠一个字：“控”，即把对手控制在一个可控范围，再用丰富的资源打败他。回到企业入侵防御上来，“控”的思路就是坚壁清野，步步为营，层层设防，让黑客即使入侵进来也是在可控的范围内活动。具体措施就是要在隔离的基础上，严格控制办公网对生产网的访问，同时在对生产网内部进行隔离的基础上进行边界防护以及检测。河防体系特别适合数据中心用户，而且从业务规划就融入安全管控的公司，对于具有一定开发能力的公司，如果打算自助建设安全体系可以参考该体系（https://security.tencent.com/index.php/blog/msg/68）。

2.1.4 塔防体系

• 数字公司提过多次塔防体系，我认为塔防体系的本质也是纵深防御，不过优于纵深防御的是强调了终端要纳入安全防御网络中，具有自我防御能力，并且有了云的管控能力和威胁情报数据，即数字公司主推的云+端+边界+联动的下一代安全体系。

2.1.5 下一代纵深防御体系

• 下一代Web纵深防御系统突破了传统基于边界防护安全的设计理念，从网络、主机、数据库层面，依托人工智能技术以及沙箱技术，结合威胁情报提供全方位的Web纵深防护，，保护企业核心Web业务不被黑产网络攻击中断，保障企业核心业务数据不被黑产窃取。帮助企业建立完整的Web防护体系，从传统的边界防护过渡到新一代的基于预测

2.2 抗DDoS攻击

2.2.1 常见DDoS攻击分类

• DDoS粗略分为流量型攻击和CC攻击。

1. 流量型攻击主要是通过发送报文侵占正常业务带宽，甚至堵塞整个数据中心的出口，导致正常用户访问无法达到业务服务器。
2. CC攻击主要是针对某些业务服务进行频繁访问，重点在于通过精心选择访问的服务，激发大量消耗资源的数据库查询、文件IO等，导致业务服务器CPU、内存或者IO出现瓶颈，无法正常提供服务。比较狡猾的攻击者会混合使用这两种攻击。

• 流量型攻击细分起来还有许多种，下面介绍几种典型的。

1. TCP SYN FLOOD----一个正常的TCP连接需要进行三方握手操作。首先，客户端向服务器端发送一个TCP SYN数据包。而后服务器分配一个控制块，并响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包，TCP连接将处于半开状态，直到服务器从客户端收到ACK数据包或者连接因为time-to-live（TTL）计时器设置而超时为止。在连接超时的情况下，事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送SYN数据包，但不对服务器发回的SYN ACK数据包答复ACK数据包时，就会发生TCP SYN泛洪攻击。通常黑客会伪造TCP SYN的源地址为一个不存在的地址，让服务器根本没法回包，并且增加TCP SYN的报文长度，同时阻塞机房出口。

2. UDP FLOOD----又称UDP洪水攻击或UDP淹没攻击，UDP是没有连接状态的协议，因此可以发送大量的UDP包到某个端口，如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，这样就消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。通常黑客会发送大量长度较长，源IP伪造成不存在地址的UDP报文，直接堵塞机房出口。

3. 反射型攻击----反射拒绝服务攻击又称为DRDoS攻击（Distributed Reflection Denial of Service），或分布式反射拒绝服务攻击。黑客伪造成被攻击者的IP，向互联网上大量开放特定服务的服务器发起请求，接收到请求的那些主机根据源IP将响应数据包返回给受害者。整个过程中，返回响应的服务器并不知道请求源的恶意动机。

   黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以用较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。根据US-CERT在2014年1月发布的预警（Alert TA14-017A），DNS、NTP、SNMP等协议的反射放大效果以及脆弱性。其中NTP协议的反射放大效果最好，超过500倍。也就是说攻击者只需要发起100Mbps的请求流量，经过NTP服务器的反射放大，可以换来5Gbps的攻击流量。2014年2月，在国外某云计算服务提供商遭受的400Gbps DDoS攻击中，黑客就采用了NTP反射放大攻击。

2.2.2 DDos云防护的基本原理

• DDos云防护的基本原理就是替身防护，即通过A记录、CNAME或者NS的方式将被攻击网站的域名指向云清洗机房，云清洗机房利用囤积的大量带宽进行流量清洗，把清洗后的正常业务访问转发给网站，过滤掉攻击流量。
• 有如下场景，我们有网站www.test.com，服务器对应IP为1.1.1.1，最近总遭遇DDoS攻击，黑客 -----> www.test.com ，以下为清洗方式介绍

1. A记录接入方式：云清洗机房提供给我们一个地址为2.2.2.2的IP，要把我的域名www.test.com以A记录形式指向2.2.2.2，云清洗中心会把过滤后的正常访问发送给我真实的服务器1.1.1.1，至此完成了一个基于A记录接入的提升防护过程。
2. CNAME方式接入：厂商的小伙伴又给了建议，除了A记录方式，他们还支持CNAME方式，这次他们没有给我一个IP，而是给了我一个特别长的域名www.test.com.xxx.com，让我们把域名以CNAME的方式指向这个域名。云清洗中心会把过滤后的正常访问发送给我真实的服务器1.1.1.1，至此完成了一个基于CNAME接入的替身防护过程。为了省IP，厂商的小伙伴也是挺拼的，不过也不影响我使用。不过如果你是手游开发者，并且你的手游只能使用IP访问服务器，这种方式并不合适，可能你就只能使用类似A记录的方式或者下面提到的云堤方式了。

2.2.3 云堤DDoS防护的基本原理

• 云堤DDoS云防护：云堤是中国电信结合其丰富的互联网宽带、运营商级清洗设备、强大的IT系统能力和专业团队，为中国电信政企客户量身定制的运营商级的DDoS安全防护产品，支持在不切换IP的情况下进行DDoS云防护。云堤的原理与其他DDoS云防护厂商不一样，所以单独介绍下。
• 云梯的攻击防护分为流量清洗和流量压制两种。流量清洗服务利用中国电信骨干网资源优势，实现靠近攻击源的防护服务。流量压制即利用中国电信作为基础运营商对互联网“手术刀式”的流量调度能力，依据与客户签订的服务响应模式在IP网络发布针对客户IP地址（段）的黑洞路由，丢弃来自网络特定方向的包括攻击流量在内的所有去往该客户IP地址（段）的流量。
• 流量清洗：流量清洗是指在DDoS攻击发生时，依据与云堤签订的服务协议，启动流量清洗流程，完成流量向清洗中心的牵引，将清洗中心认定为恶意攻击的流量进行丢弃，认定为正常的流量回注给客户网络。流量清洗启动后，电信工程师将实时跟踪，合理优化调整清洗策略，确保清洗效果。传统流量清洗服务限于清洗设备部署等问题，多是近目的清洗，面临接入带宽资源消耗问题，而“云堤”提供的流量清洗是突破性的近源清洗，利用电信全网资源在近攻击源处完成流量清洗，解决接入带宽消耗问题。“云堤”提供的流量清洗的主要特点是屏蔽攻击流量的同时确保正常业务可用。流量清洗适用于不能中断来自任何方向网络访问的特别重要业务的攻击防护。省公司在城域网和IDC出口部署清洗设备，骨干网都部署清洗设备，通过集团公司网管中心统一下发清洗指令，优化清洗规则，确保清洗效果。
• 流量清洗防护服务的实现分为策略配置、业务调测、启动防护三部分。
• 清洗策略配置是在用户租用清洗服务时进行的初始化配置，是指根据被防护对象的实际需求制定清洗策略，并预留清洗设备资源，配置清洗后流量的回送路由和通道。
• 业务调测指在中国电信完成策略配置后，与用户进行调测以验证策略配置是否生效，并根据调测结果对策略进行调整。
• 启动防护主要包括异常流量检测、清洗触发、流量牵引、清洗攻击流量、流量回注几个阶段：

1. 流量检测：对攻击流量进行及时准确地分析判断。提供用户申告和电信监测两种检测方式。
2. 清洗触发：当发现DDoS攻击流量时，及时开启流量清洗设备对目标攻击流量进行清洗，启动方式包括：自服务门户客户自助启动、电信DDoS业务人员启动。
3. 流量牵引：将去往被攻击目标的流量牵引至流量清洗中心进行清洗。具体实现方式根据实际部署环境选择。
4. 清洗攻击流量：流量“被牵引”至清洗设备后，清洗设备对正常业务流量和恶意攻击流量进行识别和分离，丢弃恶意流量，保留正常流量。
5. 流量回注：经流量清洗后的业务流量被重新转发回网络并送达原来的目标地址。根据网络环境不同，可选择配置、GRE隧道等不同流量回注方式。

• 流量压制：
• 根据攻击源的物理位置，将攻击来源分为三个方向：国际、电信和国内非电信方向。根据中国电信三年的统计数据，攻击发生时三个方向的攻击占比为4:3:3.
• 可选压制的方向包括国际网间、国内网间、国内网间+国际网间、全网四个组合：

1. 国际网间攻击阻断：仅阻断来自国外异网去到目标网络的攻击流量；
2. 国内网间攻击阻断：仅阻断来自国内网间（联通、移动、教育网等）去到目标网络的流量；
3. 国内网间+国际网间攻击阻断：同时阻断来自国内网间和国际网间层面的流量，仅保证电信网内的流量到达目标网络的可达；
4. 全网攻击阻断：阻断所有去到目标网络的流量。

• 流量压制服务的防护过程为：流量压制指令下方：当告警出现时，客户网管系统自动通过云堤提供的API将流量压制的参数（IP地址段、压制方向）传递给云堤系统，云堤后台系统完成参数校验后下发至中国电信骨干网设备。此外，流量压制指令也可以通过微信客户端下发，用户可随时随地对攻击进行处理，在第一时间减小攻击伤害。该服务的主要特征是无需部署专用设备、无需特殊路由、启动时间快。流量压制防护服务适用于特大攻击流量（超出清洗设备能力范围）或用户业务流量流向明确（如：正常业务无网间穿透互访流量）的攻击防护。可区分攻击来向的流量压制防护服务是中国电信作为中国最大的骨干网运营商所独有的攻击防护方式。

2.2.4 免费DDoS防护方案

• DDoS防护目前还没有开源解决方案，除了开源WAF上支持简单的CC防御，但是确实有相当一部分免费的DDoS防护方案，可以免费防护5-10G的DDoS攻击。如果你的网站遭受的攻击比较小，可以尝试使用免费DDos防护方案，如果你是企业级用户，还是建议使用商用方案。下面我们以常见的百度云加速来介绍如何使用免费的DDoS防护（https://jingyan.baidu.com/article/0aa22375464ac988cc0d64ae.html）

1. 输入百度云加速地址，进入云加速官网并使用百度账号登录
   

2. 管理控制台进入域名接入界面，并点击立即接入
   

3. 输入要接入的域名，云加速暂不支持二级域名添加，并且域名要备案。选择接入方式，云加速支持NS和CNAME两种接入方式
   

4. 这里以NS接入举例说明（NS-Name Server，是域名服务器记录，是指定该域名由哪个DNS服务器进行解析），添加子域名
   
   

5. 子域名配置完成后，云加速会提示分配给你域名的DNS地址。
   

6. 修改域名DNS服务器
   

7. DNS修改后在云加速域名管理界面点击重新验证，完成域名验证。