【IT168专稿】今天,我们给大家带来了来自思科的网络安全最新技术与发展趋势培训讲座。
导读:这堂培训讲座,主要价值有以下四点:
第一, 为对网络安全感兴趣但了解有限的普通网友就网络威胁做了一次深入浅出的介绍。蠕虫、木马,病毒,攻击,僵尸网络,肉鸡……这些黑客们的“行话”,看过此文,你也许就也能说的朗朗上口了^_^。
第二, 对于很多企业网管来说,第一点的内容几乎可以略过不看了~~是的,我建议你们直接从第二页读起(就在读完这句话之后,你可以翻到第二页——这篇讲座共计三页)。在第二页,我们为管网和有一定技术基础的业内人士介绍了一个科学系统的整体可信网络安全框架。如果你是一位网管,同时又不想仅仅做一些在路由器交换机上敲击命令的事情——算了,简单点说,如果你还有梦想的话,那么,第二页会告诉你一个网络真正的安全运转“内幕”。千万别错过。
第三, 过去一年里,如果你没听过“云”的话,那你真的“OUT”了。(当然,我说的听过,不是在天气预报里)。在第三页,给网管们、非网管们(不得不这样概括,对“云”感兴趣的人实在太多了)带来了网络安全技术发展的最新成果——云火墙与云安全。怎么样,听名字就够酷吧。赶紧翻到第三页。
第四, 本来就三点,第四不过是个总结。虽然三页各有侧重的介绍了很有价值的内容,你也当然可以只读其中的一部分。不过,那些所谓的“给技术人员看的”不过是些自命不凡的幌子,这里没有深奥的技术和代码,是的,而且99%都是中文。所以,别相信我上面的话,就算你和我一样是个菜鸟,你也读得懂本文的全部内容~~
A-1、网络攻击的“昨天”
自从网络诞生至今,信息安全一直受到来自各方的威胁和攻击。在过去,一般的网络攻击主要采用点对点方式,攻击者需要做端口扫描,漏洞扫描,溢出测试,存取等很复杂流程,才可能攻破对方的防御,登录并控制对方。
A-2、今天,网络攻击“升级”了
到了web2.0时代,过去的攻击方式已经无法“与时俱进”了。现在,一个黑客为了感染并控制很多肉鸡(黑客们的行话,即表示受到黑客控制的电脑),通常采取网站挂马的方式,首先在互联网架设个吸引人的server或web站点,吸引大家去下载。在下载过程中,利用各种漏洞,将他的恶意代码或程序插入到浏览此网站的“肉鸡”中,感染的肉鸡就成为僵尸网络的一员,以后主控可以利用这个网络来做想做的事情。
A-3、攻击,来自四面八方
那么,这些攻击的来源主要有那些呢?如今,我们在互联网的应用逐渐增多,email,web,视频,语音,即时通信,下载,如此多的应用,需要开的端口很多;另外,通过电子邮件附件的方式也可以迅速广泛地发动攻击;还有很多恶意的URL,通过网络访问的方式,攻击访问的客户机器。还有“威名远扬”的零日攻击,指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏。
A-4、蠕虫?病毒?木马?你知道它们的区别么
信息安全主要威胁,主要来自蠕虫、病毒和木马。病毒在DOS时代已存在,插在其它程序里,对程序进行破坏。木马也是程序,但它无法自主传播,需要通过其他的传播方式来感染你的主机。它的威胁在于,在各个被感染的主机上留一个后门,方便后续来登录和控制。蠕虫和木马不同,它在网络上可以自主传播,是独立的文件,不需要附在任何程序上面。最大特点是能够最快侵占各种互联网、CPU、内存等资源。我们常说的“僵尸网络”的建立,就是黑客们综合运用了以上的各种技术,让很多被感染的机器变成受他们控制的肉鸡。
A-5、忧心忡忡:谁来保障我们的未来
我们看到,今天的互联网已走进web2.0时代,随着互联网的普及,它对我们的生活影响将越来越大。那么,针对网络中的各种攻击和威胁,如何保障我们的信息安全呢?无论是普通用户、网管人员、专业安全服务提供商,都需要加快速度,与时俱进了。因为,Web2.0时代已经来临。对于未来,我们需要更安全的保障。
我们未来的网络需要更安全的保障
B-1、信息安全到底是什么
刚刚我们了解了网络攻击的方式和手段。现在我们和大家一起看看,面对网络中无所不在的威胁和攻击,我们需要一个怎样的信息安全框架来进行整体防御。
我们一直在强调网络中信息安全的重要性。那么,我们是否能对信息安全做出一个明确的描述和定义呢?什么是信息?什么是信息安全?
首先,信息来源于数据,又不同于数据。数据是对事物或事件的客观描述,强调客观性;而信息是在数据的基础上,通过主观认识对其进行逻辑加工后的产物。一个强调客观描述,一个强调主观认识。当然,信息是不能脱离客观事实的,不符合事实的信息是错误的,需要修正的。
弄明白了信息的定义,我们来看看什么是信息安全。大家知道,信息很大程度上的价值增值是在于传递,而在信息传递过程中,通常需要满足三个要素的要求,也就是我们常说的信息安全三要素:保密性、完整性、可用性。
首先,要保证信息的完整的,不能在传递中丢失,其次,要保证信息除了既定接收者之外,不被其他人获取和破译,最后,要保证传递的信息是可用的,有价值的。满足了这三个要求,也就保证了信息的安全。
B-2、网络与端点,我该在哪里部署安全措施
我们知道,当信息流转在网络里时,有两个逻辑单元在保证信息的传递,一个是端点,一个是网络。信息就是从一个主机或客户端(端点)传递到路由器、、交换机、防火墙(网络)。这时候,信息安全保护可以在端点做,也可以在网络做。在端点做,可以将攻击控制在源头,在网络做,可以做到风险的集中可控。
下面我们详细讨论一下两种安全策略的特点。在端点做防护,首先要保证端点本身不是恶意的人,如果端点本身就是攻击者,那么端点的防护就不可能实现了,这时就需要网络的协助,建立一个严格的准入控制,来判断端点的性质,这种网络协同的准入机制,也就是思科提到的NAC——网络存取机制。
我们不能说在端点和网络做谁好谁坏,真正好的策略是需要两者的协同的。有些防护需要在网络侧做,比如发现一些server的漏洞,但是终端的应用需求使得不能轻易通过升级终端程序来解决,这时就需要在网络侧部署一些防攻击的手段,将攻击控制在远端。当然,也有很多防护需要在端点做,例如一些针对系统的应用的,如果在网络做,会耗费大量的资源。我们需要通过合理和协同部署,实现网络对端点的识别和判断,并赋予相应的权限。
B-3、可信安全架构,搭建整体防护堡垒
刚刚我们从具体的细节讨论了如何在网络信息传递过程中做好防护,下面我们从宏观上看一看,如何搭建一个整体的网络防护堡垒。
一个可信的网络安全架构,主要由三个部分组成:可信层、安全层、服务层。
1、可信层:首先保证网络是可信的,各终端接入的是可信的网络,网络也能识别终端是否可以信任。然后提供链路层的加密服务,使得数据在交换机间传输时,可以选择是否采用加密进行保护。最后通过各种组策略,对角色进行权限的控制和管理。
2、安全层:既然网络是可信的,那各个端点间是否要控制呢?当然。我们可以通过防火墙入侵检测,VPN安全网关等,来构建安全层的防护。在安全层中,网络里流转的数据能够被监控、识别、关联和控制管理。例如,在数据中心,不同场景下我们可以利用防火墙、Email过滤,安全控制,3A认证,VPN等进行隔离和识别和管理,将网络上各个端点各个部分进行管控。
3、服务层:服务层主要由三个功能部分组成。云火墙,实现防止木马;IPS联防,根据IP地址进行协防和联防,发现攻击可以通知其他IP;Email和Web安全,利用SensorBase统一的数据库,即时收集和更新各地的攻击信息,做出防护。
关于服务层“云”安全部分,是我们此次讲座的重点,下面我们详细的讨论一下。
C-1、云火墙的由来
随着Web2.0时代到来,各种网络服务和网络应用层出不穷。攻击者可利用的攻击手段也更加先进。传统的手动静态的防护,已经很难对抗大规模的网络攻击和病毒疫情。对此,思科推出了最新的安全防护模式,协同防护。
我们知道,在网络中,如果一个地方发生了攻击,那么其他地方也可能有类似的疫情发生。于是,一旦发现某处发生攻击,立即通知其他地方统一的阻止和部署,这就是云火墙的核心思想——将防护攻击变成动态的、协同的、主动的。
C-2、云火墙和防火墙不同
很多人会疑惑,云火墙和防火墙有什么区别?熟悉防火墙的朋友都知道,防火墙的策略是静态的,用户或网管设定以后,不会自动更改。因此,对于攻击,它是完全被动的防御,不知道攻击会出现在哪里,以什么形式发生。
而云火墙是动态的,它会根据SensorBase(云上的数据中心)上实时收集到的互联网上攻击的地址和URL来更新自己的策略表。简单说,目前有一大片的主机感染了,云火墙会自动将和这些主机的链接中断,而当感染消失后,云火墙也会动态的解除中断。这样,防护变成了主动,真正好的防护,正是防患于未然。
C-3、云火墙自身的特点
1、基于SensorBase动态更新策略。
这是云火墙最大的特点,也是它称为“云”的原因。Sensorbase是云火墙的核心,思科今年在互联网部署的云端数据库。它会在全球收集各种恶意URL,各种挂马地址,每15分钟,它会动态更新给全球的客户端用户。
2、利用IPS(入侵防御系统)模块建立信誉的关联协作。
人要有信誉,互联网也是一样。在云火墙中,如果你的IP过去做过很多威胁网络安全的事情,你的每次行为都会被记录到信誉分值中,随着你的信誉值降低,你今后再次被检测到恶意攻击后,就会被网络自动关闭链接。当然,如果你的信誉恨好,偶尔一次发生恶意事件(中毒等等),网络仅仅会给你一个报警,而不会强行终止你的网络访问。
3、提供虚拟云端的移动安全接入。
随着移动互联网时代的到来,移动网络的安全接入成为关注焦点。云计算通过SSLVPN技术,实现了移动接入者的安全保护。从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型的安全解决技术。
4、支持Netflow,对云中的流量进行监控。
对于网络中异常流量的监控一直是网络安全和网络防护的重要手段之一。在云火墙中,思科采用Netflow V9技术,实现通过云火墙就可以检测流量,网管人员通过云火墙就可以管理网络。
C-4、云火墙热门问题解答:
问题一:云火墙如何防范零日攻击?
答:零日攻击的溢出会出现在哪里并不清楚,所以很难防范。但是,一旦零日攻击发生后,它会产生很大效果,例如蠕虫泛滥等。云火墙一旦发现这种异常情况后,会将疫情报告给云中心(SensorBase),然后转发给整个网络,来协同防范。
问题二:云火墙与UTM(统一威胁网关)有什么区别?
答:UTM等网关集成设备,都是静态的。不断的将病毒特征更新到本地,随着更新的特征越来越多,同时打开这么多的特征,对本地的设备压力会很大。而在云火墙,只有在有攻击的时候,才自动将策略更新给设备,没有攻击的时候,取消策略。作为设备端,只需要开通缺省配置就可以了。这也正是云火墙动态更新的好处。而且,大家要注意一点,云火墙每15分钟向客户端更新的不是病毒特征,而是防护策略。
问题三:云火墙的策略管控是强制的么?例如,一个知名网站被挂马,难道就不能去这个网站了么?
答:云火墙虽然会自动更新你的防护策略,但你可以通过云火墙的白名单和黑名单功能,自行设置某些网站的信任程度。
网络安全技术的发展是随着网络进步而永不停止的……
您的网络健康么?您的网络规划合理么?什么才是评估企业网络性能的关键点?今天我们就一起探讨一下企业网络的可用性和科学的容量规划方法。
可用性是衡量网络服务的重要指标之一,可用性是指一段时间内,系统正常工作时间占总时间的比率。
网络可用性指标的用途有:
业务部门可以明确了解网络对服务的支持水平。
网络设计人员可以了解设计目标,采取相应的技术和产品达到此目标。
运维人员可以了解对运维的需求,提供相应保障力度。
最终用户可以了解自己所得到的服务水平。
现在有的企业已经有明确的网络可用性衡量考核目标,而那些没有明确的衡量指标的企业对网络可用性也是十分关注,因此,需要建立网络可用性衡量机制以明确可用性的度量。
网络可用性主要涉及到两个问题,一是如何提升网络可用性,二是如何衡量网络可用性。
再好的管理,我们也不能做到绝对的避免网络事故的发生,但是事故是由一些潜在的风险和隐患造成的,在设计和运维的过程中可以及时发现和规避风险,最大程度上避免事故的发生。总的上说,可以从网络组件、网络架构、网络协议与配置、网络运维、网络基础支撑这五个方面来考虑提升网络的可用性。
基于网络组件上的考虑
引入组件生命周期管理,保障重要设备,部件都能及时得到支持和服务。在网络关键部位使用那些已经停止支持、即将下市、得不到维修保护、无法更新的产品对网络的可用性非常不利。
对功能相同的网络组件进行标准化,尽量统一到近似或一致的软、硬件版本,以便维护管理。
产品生命周期图如下
基于网络架构上的考虑
不同用户在网络架构规划维护上存在很大差别:没有仔细规划过的网络随着网络发展会有较多难以处理的历史问题;经过仔细规划但在维护过程中一些原则被打破、设计特性被修改的网络,它们的原规划会变的模糊不清;经过较好规划,而且及时修正规划、调整网络、定期审核规划与现状差距的网络则有很好的可用性。
因此建议定期组织各方面的专业人士对网络架构进行审核修订。具体内容涉及:业务部门的业务变化和可能的反馈、设计人员的架构变化、运维人员在运维过程中的常见问题和运维痛点、外部专家对技术风险和发展趋势的评估预测。
基于协议配置上的考虑
具体的协议、配置优劣对可用性有显著的影响,快速收敛,协议参数调优等有助于提高冗余部件间的切换时间,对提高可用性有较大意义。因此建议建立统一的配置模板,并针对路由收敛、冗余协议等进行优化。例如可在整个的运维过程中将端口下的配置、说明、log、网管上的配置建立一个统一的标准和优化机能。
基于运维上的考虑
供应商服务管理。包括厂商需提供适合的备件服务水平和电信公司对线路服务质量的监控。
完善基本的监控体系与管理流程。包括:基本的网络监控与事故管理、问题管理、变更管理;基于业务的事故定级、问题根源分析、变更与回退计划;软、硬件版本管理、生命周期管理;远程设备的带宽访问。
重要变更、上线前的测试,需搭建好相应的测试环境。
检查配置是否符合规定。
重大事故的快速响应演练。包括跟用户交流,快速的联系到后台的支持厂商,做好利益相关方的沟通。
定期的网络架构评估与优化。
基于基础设施支撑上的考虑
从实际中看,由基础支撑引起的网络问题占显著的部分。具体的基础设施支撑要考虑到:1.电源,包括供电能力,UPS,电源冗余与网络冗余的配合。2.空调方面的粉尘情况和温度监控。3.布线上的走线空间,标签处理。4.电信接入上需处理好多供应商分别接入情况。5.其他方面,如防雷击,静电防护等。
如何衡量网络可用性
通常涉及到两方面的考虑。一个是设计时的考虑:对关键路径可用性值的理论估算。另一个是运维中的考虑:从用户的角度,对实际服务可用性的测量。
关键路径可用性值的理论估算
估算时采用 元件可用性→组件可用性→系统可用性 的估算进程。如下图:
其中元件可用性包括元件的平均持续工作时间(MBTF)和维护水平(MTTR),组件可用性在元件可用性和组件构成关系上构成,系统可用性则在组件可用性和可用性连接关系上构成。
下图为关键路径理论可用性计算示例。由实际的网络连接图简化成可用性逻辑关系图,将具体设备的可用性值代入可用性逻辑关系图可计算出关键路径可用性。图中列出了组件串、并联时可用性计算公式。
服务可用性的实际测量
实际运维中往往从最终用户的角度测量服务可用性,根据网络提供的不同服务,建立不同的可用性模型,而实测的原始数据往往还需要根据故障发生时间、用户是否得到通知等进行修正。
几乎所有处在业务成长中的企业都会有网络容量的问题。企业也许一开始建立网管系统的时候不太能意识到这方面的问题,但当故障管理、问题管理、变更管理、版本管理逐渐展开的时候,容量规划的需求就慢慢出现了。网络容量规划的开展需要有相应的管理能力作基础,包括对业务需求的了解,对网络资产、配置、拓扑的了解和对网络的长期、深入的监控。
与网络容量相关的内容涉及四个层面:基础层面、设备层面、链路层面、协议层面。各层面具体的一些内容如下:
基础层面:机房空间,电力、空调、走线空间。
设备层面:CPU/Mem/交换矩阵/总线利用率,并发连接数,License数量,端口数,插槽数。
链路层面:带宽利用率,业务带宽占比,QoS各队列带宽利用率,数据掉包率。
协议层面:IP地址。
上面各层面的具体内容根据其变化特性,可分为强波动性和弱波动性两类。如CPU利用率、链路带宽、并发连接数属强波动性,IP地址占用、机架空间、端口占用、槽位占用、License占用属弱波动性。弱波动性的内容在扩展时比较容易统计、估算,而对强波动性的内容有的时候可能会缺少好的方法。
网络容量规划的方法:
首先建立网络容量模型:建立上层业务对下层网络基础的依赖关系;了解新增业务对网络容量的需求和进一步的对底层基础的需求。
其次在建立的网络容量模型基础上对一些重要参数进行趋势分析。
简单的网络模型图:
以强波动性的链路流量为例,介绍一种实用的趋势分析的方法。
通常情况下,我们会对链路流量进行长期监测,但是如何评价它会有一些问题。
简单的统计方法,可能很难得到满意的结果。例如统计过去一段时间的平均利用率,但平均值可能和峰值离的很远;统计过去一段时间的峰值,但峰值不能反映长期的平均水平;统计过去一段时间的峰值出现频度,但难以识别其规律,难以估计未来的发展趋势。
实际的解决可以采用序列分析的方法,把事物的发展看成趋势、周期、随机三类因素影响的总和。如下图。
使用多次移动平均(Moving Average),可以将周期、趋势和随机因素解耦。移动平均的具体方法是,对于一个序列,以N为周期,向前遍历求平均值得到一个新的序列。如下图,a1-a7是原始序列,周期N=3,b5是a5、a6、a7的平均值。
通常网络中的一些参数(如链路流量),通常是以天或周为周期的因素变化。所以,相应的可以以天为周期作移动平均来消除一天中的波动,或者以周为周期作移动平均来消除一周中的波动。
如下图是一个具体的例子,一个实际的链路流量图,通过每两小时采一次端口平均流量(Bytes/Sec),连续采集两个月(如 8月22,12:00 p.m.-10月22,12:00 p.m.)共732个采样点绘出。其中横轴是两个月的时间,纵轴为端口流量值。
从上图中可以看到:每天的双峰波动规律较为明显;每周似乎可以看到一定的波动;而从10月4日到6日有一个明显的链路流量高峰,在两个月中的其它时段是没有的。
对上面的统计图做分析可以采取如下的方法和步骤。
1.以一天为周期做移动平均,消除一天中周期波动的影响,如下图。
图中蓝线为原来的统计曲线,红线是做平均移动后得到的曲线,从红线中可以看到明显的以星期为周期的规律(中间10月4日到6日为特例)。
2.进一步以周为单位做移动平均,消除一周中周期波动的影响,得到长期的趋势。如下图。从图中可以看到长期的平稳的趋势。
3.除去长期趋势的影响,可得到只含每天周期和随机因子的曲线,如下图。图中,横轴为时间轴(两个月),纵轴为各时刻实际采样值与以天为周期移动平均后的值(可参考前图)的比。该图反映了一天内各时刻值和移动平均值相比的波动状况。
在上图的基础上,对每天同一时段的波动因子取平均,得到一天内不同时段的周期影响因子,如下图。
4.同理,还可以计算出一周内各天的周期因子,如下图。
5.到现在,我们已经得到了趋势图和周期因子(一天的和一周的)。除去趋势和周期因素的影响,则得到随机因子,如下图。
可以用统计的方法验证其随机性,以说明我们对周期因子提取的比较全面,该序列的标准差为0.032,即平均有3.2%的波动。
6.对趋势进行拟合,拟合时剔除异常情况的影响,可得到回归拟合后的趋势图,如下图。
在上面回归拟合趋势图的基础上,结合周期、随机因子进行外推,可得出未来两周内的推算流量图,如下图。
上图中,蓝色曲线部分为(10月22日)之前一段时间的实际采样图,红色虚曲线为推算的未来两周流量图,上边的绿色虚线为包络线,是在前面的平均波动值3.2%乘三之后绘出的波动上限。一旦哪一时段的实际流量值超出了绿色包络线,则可认为是出现了重大事件或者是有一些方面(如业务模式、网络路径)做出了人为的改变。
上面介绍的这种分析方法的主要目的是掌握链路流量的平均水平和变化规律,可以用它来进行短期的预测,但预测的结果仅仅作为一个参考,因为网络之外的很多重要因素好是不可控的,如新业务上线、网络结构变化、病毒爆发等,这些影响可轻易地突破预估范围。
但是,通过这种趋势估计,一旦实际情况与估计出现较大偏离,我们可以认为一定有不寻常的事件发生了,比如实际情况中的10月4日到6日出现的高峰。结合Cisco Netflow技术,对主要应用的带宽使用情况进行趋势分析和预测,则可以达到更好的容量规划效果。
