2019年，人人都在关注网络细分项目。这些项目是一项巨大的工程，可以极大地提高组织的安全性，但它们也涉及到业务的每一部分，并带来相当大的风险。它为网络安全提供了什么？

• 它将网络划分为包含具有类似法规遵从性要求的数据的区域
• 通过这种方式对网络进行分段，您可以减少法规遵从性的范围并简化安全策略

一般来说，你对网络的分段越多，网络就越安全。一个关键的挑战是避免分割不足或过度，并随着时间的推移保持分割的完整性。

在过去的一年里，我们估计90%与我们交谈过的公司在今年的计划中都有细分项目。这是每个人都想做的事情，但并不总是很清楚从哪里开始，风险是什么，或者是否值得付出金钱和努力。一个成功的细分项目可以为提高安全性、网络可管理性带来巨大的好处，并为企业带来积极的投资回报（ROI）。但这并非没有风险。

许多公司都知道他们的企业网络并不像他们希望的那样安全。他们有一个外围防火墙和其他可能的工具，如安全信息和事件管理（SIEM）、入侵防御系统（IPS）、高级威胁检测（ATD）来保护网络外围，但这背后是内部的“可信”网络，没有标准化的分段方法。这被亲切地称为crunchy shell/goey center(脆壳/胶粘中心网络)网络架构。这种听起来很美妙的设计带来了重大的安全风险，因为如果恶意软件越过了外围，就无法阻止它攻击内部网络上的所有其他设备。电子邮件、Dropbox和USB驱动器只是恶意软件试图绕过这一边界的几种方式，一旦进入，可能会在数天、数周甚至数月内不被发现（Verizon 2016年数据泄露调查报告第38页）。

那么，一家公司应该如何进行细分项目呢？首先，从内而外思考。从完整的网络可见性开始，然后使用该可见性来识别需要分段的网络、数据和设备。最后一步是部署策略，将设备和用户自动分段到适当的网络。

2009年，Forrester创建了网络安全的零信任模型。该模型源于这样一个结论：对于当今的数字业务，传统的基于外围设备的安全模型对于恶意内部人员和目标攻击是无效的。NextGen防火墙（NGFW）是最早采用“信任但验证”方法的供应商之一，在零信任模型中扮演着关键角色。谷歌开发了自己的解决方案BeyondCorp，它基于这样一个概念：边界不再存在，组织边界正在消失。

零信任网络架构提倡使用下一代防火墙（NGFW）在网络的每一层实施网络分段。在开始细分项目的规划过程时，您将发现两个问题：

• 您意识到您的内部网络流量不会流经NGFW，因此您需要完全重新构建所有内容，以便可以看到并保护这些内部流量。这导致许多细分项目突然停止。不通往互联网的内部流量不会通过NGFW（想象一台笔记本电脑在与打印机通话），因此无法进行检查。从平面网络迁移到完全分段的网络是一项巨大的任务。为一项好的交易引入了重大的运营风险。
• 在您决定重新设计您的内部网络之后，您将需要考虑到现在将要检查的流量的增加。入侵防御系统、ATD和NGFWs是功能强大的设备，可以解决很多问题，但它们是要付出代价的，而这一增加的成本可能会对项目的投资回报率产生负面影响。

那么，如何在不破坏银行或完全重新设计现有网络的情况下解决这个项目？这就是弗雷斯科特的用武之地。Forescout平台补充了NGFWs，使您能够像现在这样在您的网络上部署“虚拟分段”网络。Forescout通过将新的网段映射到现有网络上，并与现有网络设备集成以协调访问。因为Forescout可以与您的交换机、路由器、无线控制器和防火墙集成，所以我们可以在每个连接到网络的设备周围扩展网段。Forescout会自动执行此操作，而不管设备连接到何处或如何连接，也无需在设备上安装代理。将NGFWs和Forescout一起使用，您可以在自然网络边界部署适当大小的NGFWs来控制网段之间的访问，并让Forescout保护每个网段内的设备。有了这种方法，让我们看一个我的客户想要实现的用例。这家公司有数千个他们想要保护的现有IP摄像机。当一个新的IP摄像机连接到网络上时，他们不仅希望它移动到适当的网段，而且还希望向操作团队发出警报，记录事件并创建规则，仅限制对摄像机工作所需的服务器的访问。当设备连接到网络并且Forescout将其分类为IP摄像机时，策略将：

• 连接到无线控制器并将摄像头分配到摄像头网段。
• 连接到Palo Alto Networks防火墙并创建限制摄像头互联网访问的规则。
• 连接到访问交换机并创建一个访问控制列表（ACL），限制对摄像机的入站网络访问。
• 对Splunk进行API调用，其中包含设备、连接事件和所采取的策略操作的详细信息。
• 向/#OpsChanel发布延迟通知，通知管理员。

这一切都是在没有人与人交互的情况下发生的，而且设备上不需要任何代理。通过利用Forescout的实时可视性、分类和姿态分析功能，客户可以真正实现自动化、实时的网络分割。

如果这激起了你的兴趣，我们有两个资源可能对你很有价值。其中一个讨论了我们与Palo Alto Networks NGFW的集成。另一个概述了Forescout的网络安全划分方法。看看他们，并一如既往，随时与我们联系任何问题。

 

原文：https://www.forescout.com/company/blog/network-segmentation/

本文：https://www.forescout.com/company/blog/network-segmentation/

讨论：请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】

（1月12日更新：由于数据传输错误，2017年的一些数据报告错误;此版本的博客已得到纠正。此错误不影响我们的2018年统计数据，也不影响我们的结论。）

作为Web应用程序防火墙提供商，我们在Imperva的部分工作是持续监控新的安全漏洞。为此，我们使用内部软件从各种数据源（如漏洞数据库，新闻简报，论坛，社交媒体等）收集信息，将其集成到单个存储库中，并评估每个漏洞的优先级。拥有此类数据使我们处于一个独特的位置，可以全年分析所有Web应用程序漏洞，查看趋势并注意安全环境中的重大变化。正如我们去年所做的那样，我们回顾了2018年，了解过去一年中Web应用程序安全性的变化和趋势。

坏消息是，在2018年，与2017年一样，我们继续看到越来越多的Web应用程序漏洞，特别是与注入相关的漏洞，如SQL注入，命令注入，对象注入等。在内容管理系统（CMS）上前面，WordPress漏洞继续增长，并且它们在CMS类别中发布的漏洞数量方面继续占主导地位。尽管WordPress在漏洞数量方面处于领先地位，但Drupal漏洞影响更大，并且在2018年用于数十万个网站的大规模攻击中使用。但是，对于安全行业来说有一些好消息 - 物联网的数量（IoT）漏洞数量下降，以及与弱身份验证相关的漏洞数量。在服务器端技术类别中，PHP漏洞的数量持续下降。此外，API漏洞的增长也略有下降。

（您是否知道，过去一年中有三分之一的企业遭受了6次以上的违规行为？请参阅2019年的Cyber​​Threat防御报告，了解对1,200多名IT和安全领导者的调查结果。）

2018年Web应用程序漏洞统计信息

我们年度分析的第一阶段是检查2018年与前几年相比发布的漏洞数量。图1显示了过去三年中每月漏洞的数量。我们可以看到2018年（17,308）的新漏洞总数比2017年（14,082）增加了23％，与2016年（6,615）相比增加了162％。根据我们的数据，超过一半的Web应用程序漏洞（54％）可以为黑客提供公共漏洞利用。此外，超过三分之一（38％）的Web应用程序漏洞没有可用的解决方案，例如软件升级解决方法或软件补丁。

 

图1：2016  -  2018年的Web应用程序漏洞数

按类别划分的漏洞

在图2中，您可以找到分为OWASP TOP 10 2017类别的2018个漏洞。

最常见的漏洞：注射

今年的主要类别是迄今为止的注射，2018年的总漏洞中有19％（3,294），比去年增加了267％。 在谈到注入漏洞时，首先想到的是SQL注入。 然而，在深入挖掘数据时，我们看到远程命令执行（RCE）成为更大的问题，有1,980个漏洞（11.5％），而SQLi则有1,354个漏洞（8％）。

 

第2号漏洞 - 跨站点脚本

跨站点脚本（XSS）漏洞的数量持续增长，并且似乎是2018年Web应用程序漏洞中第二大常见漏洞（14％）。

物联网漏洞减少

似乎物联网漏洞数量大幅减少。 尽管人们普遍认为我们所有的电子设备都很容易受到损害，但在这方面似乎发生了一些变化。 可能的解释包括：物联网供应商终于开始在物联网设备中实现更好的安全性，或者黑客和研究人员在2018年找到了另一个需要关注的领域。

 

API漏洞：不断增长，但却在减速

随着时间的推移，API（应用程序编程接口）漏洞正变得越来越普遍。 图4显示了2015-2018之间API漏洞的数量。 2018年（264）的新API漏洞比2017年（214）增加了23％，与2016年（169）相比增加了56％，与2015年（104）相比增加了154％。

虽然API漏洞继续逐年增长，但似乎正在放缓，从2015  -  16年的63％降至2016  -  2017年的27％，现在在2017  -  18年间为23％。 一种可能的解释是，由于API现在更受欢迎，它们吸引了黑客和安全研究人员的更多关注。 反过来，组织花费更多时间来保护他们的API。

内容管理系统中的漏洞：攻击者专注于WordPress

根据维基百科引用的市场份额统计数据，最受欢迎的内容管理系统是WordPress，超过28％的网站使用，59％的网站使用已知的内容管理系统，其次是Joomla和Drupal。 也许不出所料，去年WordPress的漏洞数量最多（542），比2017年增加了30％（图5）。

 

图5：CMS平台2016-2018的漏洞数量

据WordPress官方网站称，目前的插件数量是55,271。 这意味着2018年仅增加了1,914（3％）。

图6：WordPress插件的数量

尽管新插件的增长放缓，但WordPress漏洞的数量却在增加。 对此的解释可能是插件的代码质量，或者WordPress是如此受欢迎的CMS的事实，它激励更多的攻击者开发专用的攻击工具并试着运气搜索代码中的漏洞。

不出所料，98％的WordPress漏洞与插件相关（参见下面的图7），这些漏洞扩展了网站或博客的功能和特性。 任何人都可以创建插件并将其发布 -  WordPress是开源的，易于管理，并且没有强制执行或任何适当的流程要求最低安全标准（例如代码分析）。 因此，WordPress插件容易出现漏洞。

 

 

在下面的图8中，您可以找到在2018年发现的漏洞最多的10个WordPress插件。请注意，这些插件不一定是受攻击最多的插件，因为报告指的是全年看到的漏洞数量 - 并且基于 持续汇总来自不同来源的漏洞。 我们的年度报告完全基于此系统的统计信息，我们列出了2018年期间在WordPress和WordPress插件中发布的所有漏洞。 该指标仅考虑最多的漏洞。 还有其他措施未包含在报告中 - 例如“最高级别”或“最具风险性” - 这些措施不一定与此测量值相关。

服务器技术：PHP漏洞下降

由于最流行的网站服务器端编程语言仍然是PHP，我们预计它会比同等语言有更多的漏洞。 这是真的。 但是，如下图9所示，与2017年相比，PHP的新漏洞在2018年与2017年相比有所下降。 缺少PHP更新 - 仅在12月发布了一个小的更新，PHP 7.3，可以解释原因。

 

Drupal年

虽然Drupal是第三大最受欢迎的CMS，但它的两个漏洞是CVE-2018-7600（下图10中的'23-mar'栏），以及CVE-2018-7602（下面的'25 -apr'栏，也称为作为Drupalgeddon2和Drupalgeddon3），是2018年数十万个Web服务器中许多安全漏洞的根本原因。这些漏洞允许未经身份验证的攻击者远程注入恶意代码并在默认或常见的Drupal安装上运行它。这些漏洞允许攻击者连接到后端数据库，扫描和感染内部网络，挖掘加密货币，使用特洛伊木马感染客户端等等。

这些Drupal漏洞的简单性及其灾难性影响使它们成为许多攻击者的首选武器。事实上，在2018年期间，Imperva发现并阻止了与这些漏洞相关的超过50万次攻击。这些攻击也是我们今年写的一些有趣博客的基础。还有另一个风险漏洞，是10月份发布的Drupal安全补丁sa-core-2018-006的一部分。但是，由于攻击不容易，攻击次数很少。

预测2019年

作为安全供应商，我们经常被问及我们的预测。以下是我们对2019年的漏洞预测：

PHP宣布版本5.5,5.6和7.0达到了使用寿命。这意味着这些版本将不再接收安全更新。像WordPress，Drupal和Joomla这样的主要CMS是用PHP开发的，需要更新版本的PHP。但是，它们仍然支持旧版本。结果是，黑客现在有动力在不受支持的PHP版本中发现新的安全漏洞，因为它们不会被修复并影响使用这些过时版本构建的每个应用程序。例如，根据Shodan，目前有34K服务器具有这些不受支持的PHP版本

注入漏洞将继续增长主要是因为对攻击者的经济影响（赚快钱）

随着DevOps成为IT的关键因素，它们的使用和对API的需求不断增长，将会发现API中的更多漏洞

如何保护您的应用和数据

防范Web应用程序漏洞的最佳解决方案之一是部署Web应用程序防火墙（WAF）。 WAF可以是内部部署，云端部署，也可以是两者的组合，具体取决于您的需求，基础架构等。随着组织将更多应用程序和数据迁移到云中，考虑安全要求非常重要。专用安全团队支持的解决方案是添加到您的选择标准的解决方案。安全团队可以及时将安全更新推送到WAF，以便正确保护您的资产。

 

原文：https://www.imperva.com/blog/the-state-of-web-application-vulnerabilities-in-2018/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

应用强大的网络细分为您的组织创建“纵深防御”战略可以提供许多好处。从减慢攻击者的速度，到限制数据泄露的范围，再到更容易实施其他数据安全策略（如最小权限策略），网络分段对您的网络安全策略非常重要。

然而，什么是网络分割？更重要的是，你如何以有效和可靠的方式创建它？

为了帮助您更好地保护您的组织免受现代网络威胁，以下是对该网络安全概念的解释，以及一些网络细分最佳实践：

什么是网络分段？

正如Tufin在一篇关于这个主题的白皮书中所指出的：“分段是将组织的网络划分成更小的、因而更易于管理的接口分组。”换句话说，网络分段的核心是将一个由连接的资产组成的网络并将每一个资产隔离以提高安全性的做法以及可管理性。

网络分割的主要目标之一是限制对组织网络的任何特定攻击造成的损害的范围，尤其是那些由内部威胁引起的攻击。如果没有强大的网络分割，任何通过外围防御的威胁都可能影响整个网络。

那么，如何利用细分策略创建纵深防御呢？以下是一些网络细分的最佳实践，可以帮助您：

网络细分最佳实践#1：小心过度细分

虽然隔离网络上的单个资产是一种很好的网络安全策略，但也存在这样一种情况：分割太多。当一个网络被分割得太重时，管理起来会更困难，甚至会影响网络的性能，从而影响员工的生产力。

用尽可能高的限制级别锁定网络中的每个端点可能会使整个网络更安全，但对于大多数组织来说，这将过于资源密集和不切实际。

因此，您的纵深防御策略应该考虑到您隔离的每个资源有多重要，该端点上的数据和系统有多敏感，以及该资源预计要处理多少网络流量。这样做可以帮助您平衡应用的安全性和资源的价值。

网络细分最佳实践2：定期进行网络审计

你不能正确地隔离和保护你不知道你拥有的东西。任何纵深防御策略都必须定期进行网络审计。否则，您将面临丢失网络上某些端点和连接的风险，从而造成攻击者可能会利用的安全漏洞。

经常进行网络审核，以确定已添加到网络中的任何新资产是弥补组织中安全漏洞的最有效的网络安全最佳实践之一。所以，一定要经常进行。

网络细分最佳实践#3：将类似资源整合到一个数据库中

在准备实施网络分割策略时，不仅可以审核网络上的所有数据，而且可以合并各个数据库上的类似资源和数据。这有助于您更轻松地制定最低权限策略，并更容易地保护额外敏感信息。

例如，假设您的客户数据只需要由组织中极少数人访问。与其把这些数据放在几十个工作站上，不如将所有数据整合到一个受良好保护的单一数据库中，以提高安全性。

这比保护几十个端点所需的资源更少，并且允许您应用更严格的保护，而不会对整体网络性能或用户体验造成太大影响。

在为合并目的定义哪些资源“相似”时，可以帮助按类型和敏感度级别对数据进行分类。

网络细分最佳实践4：为特定供应商创建和隔离访问门户

大多数组织与不同的供应商合作以满足他们的各种需求。从暖通空调维修供应商，到供应链供应商，再到特定软件许可证的供应商，一个组织可能会为服务签订合同的专家名单没有尽头。虽然不是每个供应商都需要访问组织的后端，但有些供应商可能需要访问您的系统来提供服务。

在为您的网络上的外部供应商创建访问门户时，尽可能地将他们锁定，并且只提供对他们所需的资源的访问，以满足您的组织的功能，这一点很重要。这有助于限制供应商组织中安全漏洞的潜在影响。

例如，如果供应商被攻破，并且可以不受限制地访问您的系统，那么攻击者也可能会破坏您的网络。但是，如果供应商的访问权限仅限于与网络其余部分隔离的少数系统，则损害不太可能严重。

 

原文：https://www.compuquip.com/blog/network-segmentation-best-practices

本文：http://jiagoushi.pro/node/1087

讨论：请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】

介绍

15年多来，F5一直与客户合作，保护他们的应用程序免受分布式拒绝服务（DDoS）攻击。随着时间的推移，F5®TMOS®系统的许多核心功能已经抵御DDoS攻击。自2012年以来的高调攻击让大型金融客户和企业重新设计其网络以包含DDoS保护。通过与这些客户合作，F5开发了一种DDoS保护参考架构，其中包括云和本地组件。

DDoS Protection参考架构的云组件可作为容量攻击缓解的保险策略。在本地，参考架构包括多层防御以保护第3层到第7层。网络防御层保护DNS和第3层和第4层。免受网络攻击的噪音，应用防御层可以使用其CPU资源来保护高层应用。该策略使组织能够抵御所有类型的DDoS攻击，并且已经在多个F5客户数据中心提供优势。

DDoS的四类

虽然DDoS威胁形势在不断发展，但F5发现攻击仍然属于四种攻击类型：体积，非对称，计算和基于漏洞。这些攻击类别具有以下特征：

1. 可以在第3层，第4层或第7层进行基于容量泛滥的攻击。
2. 非对称攻击旨在调用超时或会话状态更改。
3. 旨在消耗CPU和内存的计算攻击。
4. 基于漏洞的攻击利用软件漏洞。

防御机制已经发展到可以处理这些不同的类别，而今天的知名组织已经学会将它们部署在特定的安排中，以最大限度地提高其安全状况。通过与这些公司合作并对其组件进行微调，F5开发了一种推荐的DDoS缓解架构，可以适应特定的数据中心规模和行业要求。

构建DDoS保护解决方案

以下DDoS保护架构围绕着名的行业组件构建。其中一些设备可能由其他供应商和供应商提供，但有些是特定的F5组件。

DDoS保护架构的组件

 

图1显示了DDoS架构组件到它们缓解的四种DDoS攻击类别的映射。

攻击类别	缓解组件
容量	基于云的刷洗服务 Web应用防火墙
非对称	Web应用防火墙
计算	应用交付控制器 网络防火墙
漏洞为基础的	IP信誉数据库 入侵防御/检测系统（IDS / IPS） 应用交付控制器

图1：DDoS缓解组件到攻击类型的映射。

基于云的DDoS清理服务

基于云的DDoS清理服务是任何DDoS缓解架构的关键组件。当攻击者在组织的1 Gbps入口点发送50 Gbps数据时，任何数量的本地设备都无法解决该问题。云服务由真正的公共云或组织的带宽服务提供商托管，通过从可能的商品中挑选出明显的坏处来解决问题。

支持DDoS的网络防火墙

网络防火墙长期以来一直是外围安全的基石。但是，许多网络防火墙根本不能抵御DDoS攻击。实际上，许多最畅销的防火墙可以通过最简单的第4层攻击来禁用。如果防火墙无法识别并减轻攻击，那么纯粹的吞吐量就不是答案。

对于基于第3层和第4层的安全控制设备，F5建议架构师选择高容量，DDoS感知的网络防火墙。具体而言，架构师应该寻求支持数百万（而不是数千）的同时连接，并能够在不影响合法流量的情况下排斥SYN泛洪。

应用交付控制器

应用交付控制器（ADC）提供网络中的战略控制点。在正确选择，配置和控制时，它们可以显着增强DDoS防御。例如，F5 ADC的完全代理性质通过验证HTTP和DNS等常用协议来减少基于计算和漏洞的威胁。出于这些原因，F5建议使用全代理ADC。

具有集成DDoS保护的Web应用防火墙

Web应用程序防火墙是一个更高级别的组件，可以理解和实施应用程序的安全策略。无论是体积式HTTP泛洪还是基于漏洞的攻击，此组件都可以查看和缓解应用层攻击。一些供应商提供Web应用程序防火墙。但是，对于有效的DDoS架构，F5建议仅使用自己的Web应用程序防火墙模块，原因如下：

1. F5 Web应用程序防火墙可以提供其他服务，例如防黑客，Web抓取保护和PCI合规性。
2. F5客户可以同时使用ADC和Web应用程序防火墙的组合来应用应用程序交付和应用程序安全策略。
3. F5 ADC卸载并检查SSL流量。通过将其与Web应用程序防火墙相结合，客户可以在一个设备中整合加密有效负载的SSL终止和安全性分析。

入侵检测和预防系统

入侵检测和防御系统（IDS / IPS）在DDoS缓解方面可以发挥很小的作用。 F5建议不应将IDS / IPS功能部署在单个位置（例如，集成到第4层防火墙中）。 IDS / IPS应部署在可能需要特定额外保护的后端组件前面的某些实例中，例如数据库或特定Web服务器。

IP信誉数据库

IP信誉数据库通过防止DDoS攻击者使用已知扫描程序探测应用程序以供以后利用和渗透来帮助防御非对称拒绝服务攻击。 IP信誉数据库可以在内部生成或来自外部订阅服务。

多层DDoS保护架构

F5推荐混合云/本地DDoS解决方案。 F5 Silverline™DDoS防护将通过F5 Silverline基于云的平台提供服务，从而减轻容量攻击。 Silverline DDoS Protection将分析并删除大部分攻击流量。 有时，DDoS活动可能包括必须在内部处理的应用层攻击。 可以使用网络防御和应用防御层来减轻这些不对称和计算攻击。 网络防御层由第3层和第4层网络防火墙服务组成，并对应用防御层进行简单的负载均衡。 应用程序防御层包括更复杂（以及更多CPU密集）的服务，包括SSL终止和Web应用程序防火墙堆栈。

图2：混合F5 DDoS保护参考架构。

对于DDoS保护架构的内部部分，分离网络防御和应用防御具有令人信服的好处。

网络和应用程序防御层可以彼此独立地扩展。例如，当Web应用程序防火墙使用量增加时，可以将另一个设备（或刀片）添加到应用程序层，而不会影响网络层。

网络和应用程序防御层可以使用不同的硬件平台甚至不同的软件版本。

在应用程序防御层应用新策略时，网络防御层可以将一部分流量直接指向新策略，直到完全验证为止。

F5组件和功能

图3显示了提供特定功能所需的组件。 DDoS防护参考架构的F5组件包括：

1. Silverline DDoS保护
2. BIG-IP®高级防火墙管理器™（AFM）
3. BIG-IP®本地流量管理器™（LTM）
4. 采用DNS Express™的BIG-IP®全球流量管理器™（GTM）
5. BIG-IP®应用安全管理器™（ASM）

	Cloud	Network Defense	Application Defense	DNS
F5 Components	SilverLine DDoS Protection	BIG-IP AFM BIG-IP LTM	BIG-IP LTM BIG-IP ASM	BIG-IP GTM with DNS Express™
OSI Model	Layers 3 and 4	Layers 3 and 4	Layer 7	DNS
Capabilities	Volumetric scrubbing Traffic dashboarding	Network firewall Layer 4 load balancing IP blacklists	SSL termination Web application firewall Secondary load balancing	DNS resolution DNSSEC
Attacks Mitigated	Volumetric floods Amplification Protocol whitelisting	SYN floods ICMP floods Malformed packets TCP floods Known bad actors	Slowloris Slow POST Apache Killer RUDY/Keep Dead SSL attacks	UDP floods DNS floods NXDOMAIN floods DNSSEC attacks

图3：F5组件到DDoS缓解功能的映射。

内部部署保护的替代性，综合方法

虽然多层架构在高带宽环境中是首选，但F5了解到，对于许多客户而言，构建多个DDoS层对于其低带宽环境而言可能过度。这些客户正在部署DDoS缓解外围设备，该设备将应用交付与网络和Web应用防火墙服务整合在一起。

本文档中的建议做法仍适用于这些客户。对网络和应用程序防御层的引用可以简单地应用于备用体系结构中的单个整合层。

使用DDoS保护架构来维护可用性

用于容量防御的云

总是存在足够大的体积攻击以溢出组织的入口容量的风险。针对这些攻击的防御措施是通过一组高带宽数据中心重新路由传入攻击，这些数据中心可以在将流量返回到原始数据中心之前清理流量。

影响云提供商选择的因素包括容量，延迟和价值。如图4所示，现代DDoS攻击速度为每秒数百吉比特。现代云洗刷器具有吸收这些卷的攻击的能力。

当云洗涤器没有足够靠近客户自己的数据中心的洗涤中心时，会添加延迟。中小型企业（SMB）和区域性公司可以在其所在地区找到云洗涤器，但跨国公司对每个全球区域的洗涤中心都有要求。

容量和能力

 

1. 全球覆盖 - 北美，欧洲和亚洲的数据中心。
2. 全球容量的太比特或每个中心数百吉比特。

组织会说，只有在活动结束后才能找到云擦洗器的真正价值。决定他们满意度的问题包括：

1. 那个东西贵吗？
2. 假阳性的程度是多少？
3. 我们是否能够了解和控制合法流量的交付？

Ready Defense订阅作为备份云清理服务

许多客户已经与外部DDoS清理服务达成协议。这些组织也可以从备份清理服务中受益。 Silverline DDoS Protection可以通过Ready Defense™订阅以这种方式使用。作为该组织的主要DDoS擦除器，Ready Defense可以接管以协助或完全缓解攻击。

始终可用订阅作为主要服务

组织可以使用Silverline DDoS Protection Always Every™订阅作为响应DDoS攻击的主要服务。他们可以替换现有的主服务或将其现有服务委托为辅助服务。

部署模型

Silverline DDoS Protection有两种主要的部署模型：路由配置和F5 IP Reflection™。

路由配置适用于需要保护其整个网络基础架构的企业。 Silverline DDoS Protection利用边界网关协议（BGP）将所有流量路由到其清理和保护中心，并利用通用路由封装（GRE）隧道将干净流量发送回原始网络。路由配置是具有大型网络部署的企业的可扩展设计。它不需要任何特定于应用程序的配置，并提供打开或关闭Silverline DDoS保护的简单选项。

IP反射是一种替代的非对称技术，可在不需要GRE隧道的情况下提供网络基础设施保护。具有支持目标NAT的设备的组织可以利用IP反射。使用IP反射，无需更改任何IP地址，并且IP地址空间不受GRE影响。

Silverline DDoS Protection使用的返回流量方法包括：

1. （AWS）直接连接
2. IP反思
3. GRE隧道
4. 代理
5. 客户捆绑（光纤）

体积攻击聚光灯：放大攻击

图4显示，2014年世界上最大的DDoS攻击记录被多次破坏。这些攻击中的每一种都使用了一种称为“放大”的技术，攻击者利用NTP，DNS和SNMP协议中的弱点来指导目标受害者的数千个不知情的公共互联网主机的响应。

内部网络防御

网络防御层围绕网络防火墙构建。 它旨在缓解SYN洪水和ICMP碎片洪水等计算攻击。 此层还可以缓解容积攻击，直至入口点拥塞（通常为额定管道大小的80％到90％）。 许多客户将其IP信誉数据库集成到此层，并在DDoS攻击期间按源控制IP地址。

有些组织将DNS通过第一层传递到DMZ中的DNS服务器。 在此配置中，使用右侧第4层控件，它们可以在将DNS数据包发送到服务器之前验证DNS数据包的有效性。

图5：网络防御层可以防御网络层DDoS攻击。

计算DDoS攻击焦点：缓解TCP和SSL连接泛滥

TCP连接泛洪是第4层攻击，可以影响网络上的任何有状态设备，尤其是不具有DDoS抗性的防火墙。攻击旨在消耗每个有状态设备中的流连接表的内存。这些连接洪水通常没有实际内容。它们可以被吸收到网络层中的高容量连接表中，或者通过全代理防火墙来缓解。

SSL连接泛洪专门用于攻击终止加密流量的设备。由于必须维护加密上下文，每个SSL连接可能会占用50,000到100,000字节的内存。这使得SSL攻击特别痛苦。

F5建议使用容量和完全代理技术来减轻TCP和SSL连接泛滥。图6显示了基于F5的网络防火墙的连接容量。

Platform Series	TCP Connection Table Size	SSL Connection Table Size
VIPRION Chassis	12–144 million	1–32 million
High-End Appliances	24–36 million	2.5–7 million
Mid-Range Appliances	24 million	4 million
Low-Range Appliances	6 million	0.7–2.4 million
Virtual Edition	3 million	0.7 million

图6：F5硬件平台的连接容量。

内部部署应用防御

应用程序防御层是F5建议使用F5iRules®部署应用程序感知，CPU密集型防御机制（如登录墙，Web应用程序防火墙策略和动态安全上下文）的地方。 这些组件通常会与此层的目标IDS / IPS设备共享机架空间。

这也是SSL终止通常发生的地方。 虽然一些组织在网络防御层终止SSL，但由于SSL密钥和策略的敏感性使其不能保持安全边界，因此不太常见。

图7：Web应用防火墙防御应用层DDoS攻击。

非对称DDoS攻击聚焦：减轻GET洪水

递归GET和POST是当今最有害的攻击之一。它们很难与合法流量区分开来。 GET洪水可以淹没数据库和服务器，它们也可能导致“反向满管”.F5记录了一个攻击者正在向目标发送100 Mbps的GET查询并带出20 Gbps的数据。

GET洪水的缓解策略包括：

1. 登录墙防御
2. DDoS保护配置文件
3. 真正的浏览器实施
4. CAPTCHA
5. 请求限制iRules
6. 自定义iRules

可以在F5 DDoS建议实践文档中找到这些策略的配置和设置。

DNS DDoS缓解

DNS是HTTP之后的第二大目标服务。当DNS中断时，所有外部数据中心服务（不仅仅是单个应用程序）都会受到影响。这种单一的完全失败以及经常使用不足的DNS基础架构使DNS成为攻击者的诱人目标。

针对查询泛洪过度配置DNS服务

DNS服务在历史上一直处于供应不足的状态。很大比例的DNS部署配置不足，甚至无法承受中小型DDoS攻击。

DNS缓存已经变得流行，因为它们可以提高DNS服务的感知性能，并提供一些抵御标准DNS查询攻击的弹性。攻击者已经切换到所谓的“无此域”（或NXDOMAIN）攻击，这会迅速消耗缓存提供的性能优势。

为了解决这个问题，F5建议使用名为F5 DNS Express™的特殊高性能DNS代理模块来结束BIG-IP GTM DNS服务。 DNS Express充当现有DNS服务器前面的绝对解析器。它从服务器加载区域信息并解析每个请求或返回NXDOMAIN。它不是缓存，无法通过NXDOMAIN查询泛洪清空。

考虑DNS服务的位置

DNS服务通常作为除第一安全边界之外的其他设备集存在。这样做是为了保持DNS独立于它所服务的应用程序。例如，如果安全边界的一部分变暗，DNS可以将请求重定向到辅助数据中心或云。将DNS与安全性和应用程序层分开是一种有效的策略，可以保持最大的灵活性和可用性。

一些拥有多个数据中心的大型企业使用BIG-IP GTM与DNS Express和BIG-IP AFM防火墙模块相结合，在主要安全范围之外提供DNS服务。这种方法的主要好处是即使网络防御层由于DDoS而脱机，DNS服务仍然可用。

无论是在DMZ内部还是外部提供DNS，BIG-IP GTM或BIG-IP AFM都可以在DNS请求到达DNS服务器之前验证它们。

参考架构用例

以下是参考架构的三个用例，它映射到三个典型的客户场景：

1. 大型金融服务机构（FSI）数据中心
2. 企业数据中心
3. SMB数据中心

下面的每个用例都包含部署方案图，用例细节的简短描述以及该方案中推荐的F5组件。有关其他尺寸信息，请参见图14。

大型FSI DDoS保护参考架构

图8：F5 DDoS保护大型FSI数据中心部署方案。

大型FSI客户场景

大型FSI数据中心场景是DDoS成熟，公认的用例。通常，FSI将拥有多个服务提供商，但可能会放弃这些服务提供商的批量DDoS产品，转而采用其他清理服务。其中许多还可能具有备份容量DDoS服务，作为针对其主云擦除器故障的保险策略。

FSI数据中心通常只有很少的公司员工，因此不需要下一代防火墙。

FSI在联邦/军事纵向之外拥有最严格的安全政策。例如，几乎所有FSI都必须通过整个数据中心对有效负载进行加密。 FSI在互联网上拥有最高价值的资产类别（银行账户），因此它们经常成为目标 - 不仅是DDoS，也是黑客攻击。双层内部部署体系结构使FSI组织能够在应用程序层上扩展其CPU密集型，全面的安全策略，而无需考虑其在网络层中的投资。

此用例允许FSI创建一个DDoS抗性解决方案，同时保留（实际上，同时利用）他们已有的安全设备。网络防御层的防火墙继续发挥作用，应用防御层的BIG-IP ASM设备继续防止漏洞。

Location	F5 Equipment
Cloud	Silverline DDos Protection: Ready Defense Subscription Always Available Subscription
Network Tier	VIPRION Chassis (Pair) VIPRION Add-On: BIG-IP AFM
Application Tier	Mid-Range BIG-IP Appliance License Add-On: BIG-IP ASM
DNS	Mid-Range BIG-IP Appliance (Pair)

图9：FSI客户部署方案的大小调整建议。

企业DDoS保护参考架构

图10：F5 DDoS防护企业数据中心部署方案。

企业客户场景

企业防DDoS场景类似于大型FSI场景。主要区别在于企业确实在数据中心内部有员工，因此需要下一代防火墙（NGFW）的服务。他们很想使用单个NGFW进行入口和出口，但这使他们容易受到DDoS攻击。另一个区别是企业通常会使用互联网服务提供商（ISP）提供的体积DDoS服务。

F5建议企业使用备份容量DDoS服务作为针对ISP云扫描器故障的保险策略。这些客户可以使用Ready Defense订阅作为容量保护的辅助服务。

在内部，推荐的企业体系结构在与入口应用程序流量不同的路径上包括较小的NGFW。通过使用网络防御层和应用程序防御层，企业可以利用非对称扩展 - 如果发现CPU处于溢价状态，则可以添加更多BIG-IP ASM设备。

不同的垂直行业和公司有不同的要求。通过在两层使用F5设备，企业架构允许客户决定解密（并可选地重新加密）SSL流量最有意义的地方。例如，企业可以在网络防御层解密SSL，并将解密的流量镜像到监控高级威胁的网络分流器。

Location	F5 Equipment
Cloud	Silverline DDoS Protection: Ready Defense Subscription Always Available Subscription
Network Tier	High-End BIG-IP Appliance (Pair) License Add-On: BIG-IP AFM
Application Tier	Mid-Range BIG-IP Appliance License Add-On: BIG-IP ASM
DNS	Mid-Range BIG-IP Appliance (Pair)

图11：企业客户部署方案的大小调整建议。

SMB客户场景

SMB数据中心用例是关于提供安全性，同时最大化整合价值。这些企业非常重视获得最大收益。如果可以，他们希望从一台设备上做所有事情，并且他们愿意在DDoS攻击期间下线。

对于这个用例，客户将所有鸡蛋放在一个篮子里。它将获得最具成本效益的解决方案，但也将面临最大的可用性挑战。

另一方面，组织通过在单一平台上集中具有深厚知识的专业资源来提高效率。 F5提供高可用性系统，卓越的规模和性能，以及世界一流的支持，有助于进一步抵消风险。

当然，财务节省是这种整合架构的最大好处。这些客户可以获得卓越的DDoS解决方案，其设备已经开始每天为其创收应用程序提供服务。整合的环境有助于节省机架空间，电源和管理。

Location	F5 Equipment
Cloud	Silverline DDoS Protection: Ready Defense Subscription Always Available Subscription
Consolidated On-Premises Tier	Mid- to High-End BIG-IP Appliance Pair License Add-On: BIG-IP GTM License Add-On: BIG-IP ASM License Add-On: BIG-IP AFM License Add-On: BIG-IP APM

图13：SMB客户部署方案的大小调整建议。

尺寸规格

图14显示了可用于满足客户扩展要求的F5硬件设备系列的规格。

Throughput	SYN Flood (per second)	ICMP Flood	HTTP Flood (JavaScript redirect)	TCP Connections	SSL Connections
VIPRION 2400 4-blade chassis	160 Gbps	196 million	100 Gbps	350,000 RPS	48 million	10 million
10200V Appliance High-end appliance	80 Gbps	80 million	56 Gbps	175,000 RPS	36 million	7 million
7200V Appliance Mid-range appliance	40 Gbps	40 million	32 Gbps	131,000 RPS	24 million	4 million
5200v Appliance Low-range appliance	30 Gbps	40 million	32 Gbps	131,000 RPS	24 million	4 million

 

图14：DDoS保护的F5硬件规格。 有关特定尺寸建议，请参阅客户使用案例。

结论

这种推荐的DDoS保护参考架构利用了F5与客户抗击DDoS攻击的长期经验。 中小型企业通过综合方法取得成功。 全球金融服务机构认识到推荐的混合架构代表了所有安全控制的理想位置。 企业客户也在围绕这种架构重新安排和重新架构他们的安全控制。 在可预见的未来，混合DDoS保护架构应该继续提供当今架构师应对现代DDoS威胁所需的灵活性和可管理性。

原文：https://www.f5.com/services/resources/white-papers/the-f5-ddos-protection-reference-architecture

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

在我们上一次网络广播中，我们了解了这些疯狂的首字母缩略词IDS和IPS的遗留问题以及它们与UTM软件模块的相似之处。每个人都喜欢引物和简单的描述性定义，所以让我们一起思考一下。

IDS

入侵检测传感器（IDS）是一种最明显可以检测到的东西;但是有什么事情？最终它可能是任何东西，但幸运的是大多数供应商都包含大量的“签名”和/或检测东西的方法。我想要检测什么？对于每个网络，这个答案会有所不同，尽管通常它会寻找不寻常的流量。什么不寻常？简单来说，它是您不希望在网络上流量的流量，无论是策略/滥用（IM，游戏等）还是最新的恶意软件。

正如他们在房地产中所说：它的位置，位置，位置。不是机架中的位置，而是IDS将监控的网络部分。监控入口/出口点的流量将显示进出的情况（当然，在防火墙策略批准之后），但可能不允许您看到远程办公室连接到核心组件。

您不想做的一件事是检查防火墙公共端的流量。监控内部交换机上的所有流量（如LAN或DMZ）将允许IDS监控用户活动或密钥服务器，但不会发现网络其他部分发生的事情。除非您拥有无限的资源，否则您可能无法监控网络上的所有内容，因此关键决策将是哪个流量最重要，哪个网段提供最佳优势。

IDS可以被动地监控多个网段，并可以监控IPS或UTM永远不会看到的流量，例如完全停留在LAN或DMZ内的流量。因此，IDS可以在桌面计算机上发出警报，攻击LAN上的其他桌面计算机，这是IPS或UTM因内联而错过的内容。

IPS与IDS

IPS（入侵防御传感器）在大多数情况下都是IDS，除了它可以对当前流量进行内联操作。这听起来很棒吗？好几乎。 IPS和UTM本质上必须是内联的，因此只能看到进出区域的流量。一个巨大的问题是IPS可以防止业务合法或创收流量（IPS，记住，可以改变流量）。 IPS操作包括drop，reset，shun或custom脚本操作，所有这些操作都会在签名匹配时立即发生。如果IPS丢弃合法流量，这种可能的负面行为会使负责安全的人现在对收入损失负责。根据我们的经验，只要您还利用区分IPS的关键组件，IPS设备就能成为出色的工具。

确保您的IPS设备能够“失效打开”;这意味着如果应用程序的任何部分发生故障，甚至机箱发生故障（任何人都会断电），该设备将继续通过流量。没有人想要一块阻碍数据流动的砖块。

还要意识到实际上只有一小部分签名可以被允许对流量采取行动。为了帮助减少误报率，应该有一个非常明确的家庭网或受保护的范围，允许面向方向的签名更有效。您还需要花费大量时间查看警报和事件输出，以确保允许采取措施的签名按预期工作。您可以在每次签名更新时花更多时间预先花费更多时间，查看供应商选择采取行动的签名，并考虑这会如何影响您的流量。我们已经看到这种方法在防火墙在“开放”网段之间不是很受欢迎的环境中效果最好。

UTM设备中基于软件的模块

这将我们带入统一威胁管理（UTM）设备中基于软件的模块。关于这些设备的关键项目恰好是缺点，尽管这并没有降低它们的功效。显然，它们只能位于UTM本身所在的位置。通常，这是您的Internet网关或LAN和DMZ之间的访问控制点的交接点。在这种情况下，UTM将无法查看DMZ或LAN上的所有系统到系统流量，而只能看到来自该段的流量。

此外，UTM不是专用平台，因此倾向于具有更高的误报率（尽管这越来越好）。在高CPU或内存利用率的情况下，它们将关闭软件模块以保留设备的主要功能，作为防火墙。这是与不是专用平台相关的重要一点，有助于证明对专用设备的请求是合理的。如果您拥有的是这样的设备，我们会说它！从您的网络进出流量比看到根本没有任何IDS要好得多。请您的供应商验证他们是否在防火墙策略后对逻辑流量进行了逻辑检查，如果您的设备进入保存模式或始终看到高资源利用率，请务必立即通知自己。

因此，总之，比较IDS，IPS和UTM

这三者中没有一个是“设置并忘记它”的设备。 每天都会出现新的恶意软件和利用和检测的载体。 无论您的选择如何，您都会经常在签名事件/警报输出中重复进行维护，并且需要更新和管理您的策略，尤其是在IPS的情况下。 更新可以自动应用于所讨论的任何设备，但这并不能免除人工审查的需要。 每天留出一些时间来检查您的设备，并考虑关闭在您的环境中没有任何作用的签名组（想想“基于策略”）并精确调整其他噪音。

我们所写的所有警示性声明都希望不会吓到你。 在您的环境中进行流量检查是了解网络流量的好方法。

 

原文：https://www.alienvault.com/blogs/security-essentials/ids-ips-and-utm-whats-the-difference

本文：http://pub.intelligentx.net/ids-vs-ips-vs-utm-whats-difference

讨论：请加入知识星球或者小红圈【首席架构师圈】

 

公司最有价值的资产之一（如果不是最多）是其信息及其系统。 致力于成为“计算机窃贼”的人也知道这一点，所以他们尝试不同的方法来攻击我们的公司网络并访问我们有价值的信息。 进行网络攻击的“武器”类型已经多样化，以至于在我们的网络入口处安装防火墙或任何NGFW以及在用户计算机上安装防病毒已经不够了。 网络管理员知道这就像锁住我们房子的前门，但是所有的窗户和后门都打开了。 既然攻击发生在网络协议中的不同“层”中，我们需要针对每种类型的流量使用不同的防御系统。 越来越多的公司在Web应用程序中拥有永久业务这一事实可能使他们更加脆弱。

在一个理想的世界中，我们的Web应用程序的代码不应该有任何安全“差距”，这可能会使我们的数据面临风险，但实际上这不太可能，因此有必要使用外部应用程序。当然，存在越多的安全障碍，企业主和网站所有者将感受到更多的安心。目前有哪些选择可以保护我们公司的服务器（甚至数据中心）免受对我们数据的大量威胁？我们来谈谈两个选项：Web应用程序防火墙（WAF）和另一方面入侵防御系统。每个人的特点是什么？它们有什么共同点，它们有什么区别？两者中的哪一个为网络提供了更多安全性？

Web应用程序防火墙（WAF）

Web应用程序防火墙（WAF）是一种解决方案（硬件或软件），可用作外部用户和Web应用程序之间的中介。这意味着在到达Web应用程序或用户之前，WAF会分析所有HTTP通信（请求 - 响应）。

为了执行HTTP流量监控和分析，WAF应用一组先前定义的规则，这些规则可以检测恶意HTTP请求，例如跨站点脚本（XSS），SQL注入，Dos或DDos攻击，cookie操作和很多其他的。一旦WAF检测到威胁或攻击，它就会阻止流量以拒绝恶意请求或响应敏感数据。如果没有线程或攻击，您的所有流量都应该正常流动，以便所有检查和保护对用户透明，并且不应影响任何日常业务Web应用程序操作。

入侵防御系统（IPS）

在入侵防御系统（IPS）的情况下，是一种更通用的保护设备。它为各种协议类型的流量提供保护，例如DNS，SMTP，TELNET，RDP，SSH，FTP等。 IPS使用不同的方法检测恶意流量，例如：

基于签名的检测：

基于签名的检测作为防病毒程序。公司可以识别威胁并向管理员发送警报。要使此方法正常工作，所有签名都必须包含最新更新。

基于策略的检测：

IPS要求非常具体地声明安全策略。 IPS会识别这些策略之外的流量并自动将其丢弃。

基于异常的检测：

根据正常交通行为的模式。此方法可以使用两种方式，自动或手动。一方面，IPS自动执行统计分析并建立比较标准。当流量距离此标准太远时，它会发出警报。另一种方法是默认情况下手动设置流量的正常行为，以便在流量再次远离此规则时发送警报。手动方式的缺点是灵活性和动态性较差，可能会发送错误警报。

蜜罐检测：

使用配置为在不损害真实系统安全性的情况下引起黑客注意的计算机。使用此诱饵，可以监控和分析攻击，以便一旦确定，就可以使用它们来建立新策略。

 

哪一个是我最好的选择？

经过我们的比较，很明显，即使两个解决方案都是我们网络的额外安全层，它们也可以处理不同类型的流量。 因此，与其他竞争者不同，他们大多相互补充。 尽管IPS似乎可以保护更广泛的流量类型，但有一个非常具体的流量只有WAF可以使用。 强烈建议同时使用这两种解决方案，尤其是在环境系统与Web紧密配合的情况下。

幸运的是，现在有完整的解决方案，可以为您提供两全其美的解决方案。

挑战在于选择合适的WAF硬件系统来有效地运行基于软件的安全机制。换句话说，保护企业数据中心最实用的方法是实施软硬件混合解决方案，以保护网络免受网络犯罪。

Web应用程序防火墙的制作有几个要求：

SSL加速：

SSL对于WAF来说是至关重要的，因为它是用于重载公钥加密的CPU卸载方法。为获得最佳性能，建议使用硬件加速器。

DPI：

由于WAF部署在企业服务器和用户之间，因此WAF的主要任务之一是监控流量并阻止恶意企图。这需要功能强大的硬件支持的高效DPI（深度包检测）。

高性能和高吞吐量：

由于DPI和SSL都是CPU密集型的，因此WAF部署所需的硬件架构必须提供运行软件的专用处理能力。

高可用性：

WAF以24/7为基础运行，因此，电源的高可用性对于优化WAF至关重要。

可扩展性：

由于Web应用程序服务可能随着客户群的增长而扩展，因此企业WAF必须通过硬件方式扩展，以便以最简单的方式提高性能并加速关键应用程序。

例如，Lanner的FW-8759是主流1U机架式网络安全系统，利用Intel Denlow平台（基于Intel Haswell CPU和C226 PCH）的尖端功能。该设备具有8个内置Intel GbE LAN端口和1个NIC模块插槽，可支持最高16 GbE端口的最大端口密度，非常适合UTM，防火墙，VPN，IPS和WAN优化等网络安全应用。事实上，它确实足以成为各级公司的安全保护。

总而言之，尽管存在所有威胁，但选择最佳分层保护应该会给您更多的安全性（为什么不）让您高枕无忧。

 

原文：https://www.lanner-america.com/blog/waf-vs-ips-whats-difference/

本文：http://pub.intelligentx.net/waf-vs-ips-whats-difference

讨论：请加入知识星球或者小红圈【首席架构师圈】

介绍

客户经常询问“当我已经拥有下一代防火墙（NGFW）时，为什么需要Web应用程序防火墙（WAF）？”。本博文的目的是解释两种解决方案之间的区别，重点关注Web应用程序防火墙可以提供的附加值。

什么是Web应用程序？

在解释实际差异之前，了解Web应用程序的确切含义非常重要。 Web应用程序是一种应用程序，存储在远程服务器上，并通过浏览器界面通过Internet提供。在网络的早期，网站由静态页面组成，这严重限制了与用户的交互。在1990年代，当修改Web服务器以允许与服务器端自定义脚本进行通信时，此限制被删除。这允许普通用户第一次与应用程序交互。这种交互性使组织能够构建解决方案，如电子商务，基于Web的电子邮件，网上银行，博客，网络论坛以及支持业务活动的自定义平台。所有这些Web应用程序都使用HTTP（S）作为Web浏览器和Web服务器之间连接的协议。

如今，Web应用程序变得越来越复杂，依赖于HTML5，Java，JavaScript，PHP，Ruby，Python和/或ASP.NET等语言和脚本来实现丰富的界面应用，广泛的框架和复杂的第三方库。一方面，这些Web应用程序是连接到后端数据库的重要业务驱动工具。这些数据库可以是公司数据，持卡人数据或其他敏感的业务相关信息的存储库，因此应该是高度安全的。另一方面，Web应用程序是黑客非常有趣的目标，因为它们是开放的，可以通过互联网轻松访问。从安全角度来看，这是一个真正的挑战！

什么是下一代防火墙（NGFW）？

传统防火墙仅限于包过滤，网络和端口地址转换（NAT）和VPN等功能。它根据端口，协议和IP地址做出决策。如今，以这种不灵活和不透明的方式实施安全策略已经不再实际可靠。需要一种新的方法，NGFW通过在安全策略中添加更多上下文来提供这种方法。基于上下文的系统旨在以智能方式使用位置，身份，时间等信息，以便做出更有效的安全决策。

下一代防火墙还通过添加URL过滤，防病毒/反恶意软件，入侵防御系统（IPS）等功能，将自己与传统防火墙区分开来。 NGFW不是使用几种不同的点解决方案，而是大大简化并提高了在日益复杂的计算世界中实施安全策略的有效性。

什么是Web应用程序防火墙（WAF）？

Web应用程序防火墙通过HTTP（S）保护Web服务器和托管Web应用程序免受应用程序层中的攻击，并防止网络层中的非体积攻击。 WAF旨在保护您的部分网络流量，特别是面向面向Web应用的公共互联网。 WAF还可以通过为这些弱点提供虚拟补丁来弥补潜在的不安全编码实践。 WAF具有高度可定制性，并且可根据客户Web应用程序的特定设计进行定制。大多数情况下，WAF在应用交付控制器（ADC）上串联安装。

开放Web应用程序安全项目（OWASP）排名前10位，CWE / SANS排名前25位最危险软件错误，Web应用程序安全联盟（WASC）威胁分类v2.0和交叉引用视图提供了详细记录的Web概述应用威胁景观。所有这些潜在威胁证明了对专用Web应用程序防火墙技术的需求。

F5 WAF的附加价值是多少？

Web应用程序的定制特性以及依赖于流量模式匹配的保护所产生的误报或性能损失可能成为一个真正的问题。默认情况下，NGFW或入侵防御系统（IPS）供应商会禁用大多数Web应用程序保护签名，以缓解这些问题。但是，NGFW和IPS供应商仅提供一组基本签名，并且没有配备WAF的更高级功能。

F5 Networks WAF拥有专用引擎，可通过Web协议和语言的知识执行流量解码和规范化。结合更高级的SSL / TLS解密/卸载功能，WAF提高了广泛的Web攻击特征库的有效性。

在Web攻击特征码数据库之上，F5 Networks提供URL，参数，Cookie和表单保护功能，以便对用户对Web应用程序的输入进行深入细致的控制。策略学习引擎支持的WAF安全策略的实现。此策略学习引擎侦听来自客户端的HTTP（S）请求和Web应用程序的答案。通过这种方式，可以创建URL，参数和Web攻击签名的映射，以强制执行或列入白名单。

此外，F5 WAF通过使用URL加密，网页代码注入，cookie签名和自定义错误页面等技术修改Web应用程序发送的响应来保护您的Web应用程序，以防止跨站点请求伪造。

作为最后的差异化因素，F5 WAF跟踪用户会话以检测可能破坏Web应用程序正常业务流的恶意活动，并且还具有先进的反僵尸和反DDoS检测引擎。可选地，F5 Networks WAF还可以提供高级认证服务，如单点登录，多因素身份验证（MFA）和/或Web应用程序的预身份验证。

SecureLink集成方法

SecureLink作为欧洲领先的网络安全集成商，推荐以串行方式实现F5网络WAF和Palo Alto Networks NGFW的最佳组合。我们的专家对两家供应商的产品和技术都非常熟练，并且我们拥有满意客户的良好记录。

结论

Palo Alto Networks下一代防火墙旨在安全地启用应用程序并保护您的网络免受高级网络攻击。 NGFW专注于在访问互联网和内部应用程序时保护内部客户端。 F5 Web应用程序防火墙的重点是保护内部（自定义）Web应用程序免受应用程序层内的外部威胁。

SecureLink是一个高度专业化的安全集成商，我们的最佳实践是在互联网接入街道上以串行方式实施F5 Networks WAF和Palo Alto Networks NGFW技术。这种最佳实践方法提供了两种技术中的最佳方法，F5 Networks提供SSL / TLS卸载和Web应用程序保护功能，Palo Alto Networks充当您的Web应用程序的IPS和防病毒解决方案。

我们总结一下，WAF保护Web应用程序和NGFW保护网络。依赖面向Web的应用程序的企业可以从WAF中获益匪浅。对于这些客户，在大多数情况下建议实施这两种解决方案。

原文：https://securelink.net/en-be/insights/waf-vs-ngfw/

本文：https://pub.intelligentx.net/node/655

讨论：请加入知识星球或者小红圈【首席架构师圈】

即使您了解安全性，也很难创建安全的应用程序，尤其是在当今企业中如此常见的压力下工作时。 NGINX Web应用程序防火墙（WAF）可保护应用程序免受复杂的第7层攻击，否则可能导致系统被攻击者接管，丢失敏感数据和停机。 NGINX WAF基于广泛使用的ModSecurity开源软件。

为什么选择NGINX WAF？

实战检验

ModSecurity被超过一百万个网站使用，是应用程序安全性中最值得信赖的名称

灵活

NGINX WAF是可以在任何环境中部署的开源软件 - 裸机，公共云，私有云，混合云，虚拟机和容器

经济有效

PCI合规性只是硬件WAF成本的一小部分

 

Features

第7层攻击保护

检测并停止广泛的第7层攻击：

1. SQL注入（SQLi），跨站点脚本（XSS）和本地文件包含（LFI），它们共同占已知第7层攻击的90％以上
2. 跨站点请求伪造（CSRF），远程文件包含（RFI），远程代码执行（RCE）和HTTP协议违规
3. 其他常见的攻击媒介，由您自己的自定义正则表达式规则检测

IP声誉

自动阻止来自已知恶意IP地址的流量：

1. 在Project Honey Pot数据库中实时查找IP地址，并拒绝访问列入黑名单的用户
2. 查询缓存最多可达24小时，以提高性能
3. 建立自己的恶意IP地址蜜罐并回馈社区

审计记录

获取有关审核和可见性的详细日志：

1. 有关所有事务的详细信息，包括请求，响应以及激活哪些规则的详细信息
2. 用于归档和集中分析的远程系统日志

原文：https://www.nginx.com/products/nginx-waf/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

SSL是一个首字母缩略词，通常指两个加密Internet协议的传输层安全性（TLS）及其前身安全套接字层（SSL）。 SSL的目的是通过计算机网络提供安全通信，SSL加密数据现在约占所有Internet流量的三分之一。

安全套接字层（SSL）是一种常用协议，有助于确保通过Internet传输的HTTP流量的安全性。 SSL依靠公钥和私钥加密来加密客户端和服务器之间的通信，以便通过网络安全地发送消息。通过加密传输，敏感信息（例如用户的在线银行会话的登录ID，或者可能是信用卡号）受到保护并且不受潜在黑客和犯罪组织的控制。

您可以确定网站是否使用SSL，因为URL将显示“https：”而不是“http：” - 额外的“s”表示SSL正用于加密数据。

威胁可以隐藏在加密的SSL流量中

为了防止网络攻击，企业需要检查传入和传出的流量是否存在威胁。不幸的是，攻击者越来越多地转向加密以逃避检测。事实上，随着越来越多的应用程序使用加密数据，NSS Labs预测，到2019年，不检查SSL通信的组织将对75％的Web流量进行加密，为攻击者渗透防御和恶意内部人员提供了一扇门。窃取敏感数据。

目前的不安全状况

2017年全球信息安全支出将达到惊人的864亿美元，因为各组织围绕其网络周边堆放防火墙，并通过一系列产品（包括安全网关，取证工具，高级威胁防御平台等）检查传入和传出流量。

欧盟（EU）颁布了“通用数据保护条例”（GDPR）。任何与欧盟居民有业务往来的组织都必须确保他们遵守规定，以免他们面临巨额罚款。 GDPR是一套强制性法规，用于管理安全漏洞和企业对它们的响应。它将于5月25日生效，不遵守规定的组织可能面临高达2000万欧元的巨额罚款，或全球年营业额的4％，以较高者为准。了解更多关于高价GDPR安全呼吸的信息。

SSL卸载

今天的互联网用户比几年前对网络安全更加警惕;通过加密的http流量进行安全的流量交换正成为网站和应用程序的标准。虽然专用安全设备提供对网络流量的深入检查和分析，但它们很少用于高速加密SSL流量。实际上，某些安全产品根本无法解密SSL流量。 SSL卸载可减轻专用安全设备的CPU密集型加密和解密任务，从而提高应用程序性能。

加密和解密网络流量对于服务器来说是一项非常耗费CPU的任务。特别是初始会话设置需要大部分CPU。当网站迁移到2048位或更高的SSL密钥时，服务器硬件的通用CPU将受到重创。

从1024位密钥升级到2048位密钥时，CPU使用率通常会增加4-7倍。对于4096位密钥，服务器CPU必须达到典型卷（typical volumes）的限制。业界正在迅速升级到2048位密钥;最小密钥长度从1024更改为2048位。证书颁发机构（CA）不再提供密钥长度小于2048位的证书。

SSL检查

SSL检测为组织提供了强大的负载平衡，高可用性和SSL解密解决方案。使用SSL检查，组织可以：

• 分析所有网络数据，包括加密数据，以获得完整的威胁防护
• 部署最佳的内容检查解决方案，以抵御网络攻击

 

原文：https://www.a10networks.com/blog/ssl-offload/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

去年年初，我们都醒悟过新的现实。 HTTPS采用已达到临界点，这意味着超过一半的Web流量已加密。

加密流量的好处是显而易见的，对吧？它主要是关于通过验证Web服务器和客户端（Web浏览器）来保护传输数据，然后使用它来加密经过身份验证的各方之间的消息。然而，一些重要问题没有答案：

1. 如何判断您的流量是否已充分加密？
2. 您可以做些什么来使您的HTTPS配置更加紧凑？
3. 并且只是使用足够的SSL？

在这篇博文中，我将讨论如何提升您的Web服务器SSL / TLS实现，为什么它很重要，以及如何利用我们的Imperva SecureSphere Web应用防火墙（WAF）13.0版本来实现所需的A +等级SSL实验室。

提升您的SSL姿势

正确部署HTTPS可能是乏味的，有时甚至是令人恐惧的，即使对于经验丰富的安全团队也是如此，但不必担心......

幸运的是，有许多组可以提供指导和工具，帮助评估SSL / TLS部署中的安全级别。例如，OWASP基金会持有并维护一个传输层保护备忘单，它提供了一些实施HTTPS的最佳实践指南。

不仅如此，最近出现了许多免费的诊断工具，可以让您对SSL Web服务器配置和性能进行分析。其中许多工具为您提供有关如何增强HTTPS配置的基本信息和建议。其他人将深入分析您的HTTPS配置，包括SSL漏洞状态报告。但毫无疑问，已成为评估SSL实施的行业标准的工具是Qualys的SSL实验室。我相信如果你自己尝试过，你可能会同意它是那里最全面和最深入的分析工具。我们来看看它是如何工作的。

SSL实验室如何进行Web服务器测试？

SSL实验室提供了他们如何在SSL服务器评级指南中对网站进行评级的方法。

简而言之，SSL实验室着眼于两个主要方面：

• 证书 - 验证它是否有效且可信
• 配置 - 检查三种类别的服务器配置：
  • 协议支持 - 检查五种可用的SSL协议版本：SSL 2，SSL 3，TLS 1.0，TLS 1.1和TLS 1.2
  • 密钥交换支持 - 检查关键交换参数的优势
  • 密码支持 - 检查支持的密码套件，密码以服务器首选顺序显示，从最强到最弱

然后，SSL实验室将类别分数组合成总分，并将其转换为字母等级。

最后，SSL实验室检查服务器配置的其他方面，如果您有其他功能，如TLS_FALLBACK_SCSV，OCSP装订和支持HSTS，则无法通过数字评分表示并检查。请注意，例如，如果没有降级，您将无法获得所需的A +分数。

 

Numerical Score	Grade
score >= 80	A
score >= 65	B
score >= 50	C
score >= 35	D
score >= 20	E
score < 20	F

表1. SSL Labs评分到字母的成绩翻译

SSL实验室 - 仅关于安全吗？

作为Imperva的产品经理，我有很多关于这个工具的客户和安全研究人员的讨论，以及我失去了重要性的重要性。随着时间的推移，我注意到的一个有趣的事情是，虽然许多人最初质疑SSL实验室进行测试的方式及其有效性，但现在该工具已成为事实上的标准。这是为什么？让我分享一下我学到的东西。

在开始时，安全管理员似乎只关注该工具及其评级，以此作为了解如何保护其SSL / TLS实施的方法，以及如何避免受到损害或易受SSL / TLS攻击，例如Heartbleed，POODLE，怪胎和其他人。从他们的角度来看，这完全取决于安全性，不受安全漏洞的影响，这可能导致直接的财务损失。但现在似乎还有更多。

组织已经开始意识到他们的网站等级和SSL / TLS实施效果已经公开，并且越来越多的用户正在使用SSL实验室来获得网站安全性的一些指示。这是一个改变游戏规则的游戏。糟糕的成绩可能会对用户眼中的网站声誉产生负面影响，最终可能导致间接损失。

试想一下，如果你发现你经常购买的一个电子商务网站的SSL实验室成绩非常低，你会怎么做？我只能假设你在订购下一个Kindle或无人机之前会让你三思而后行。

图1：组织试图避免的SSL实验室可怕的F级

使用WAF为SSL实验室评分A +成绩

现在我们已经讨论了SSL实验室，它的重要性，并了解它的工作原理，我想建议一个快捷方式来获得令人垂涎的A +等级，这就是使用Web应用程序防火墙（WAF）。

使用WAF，实现SSL Labs A +等级的方式要短得多。这样做更容易，因为它不需要对后端服务器进行任何更改，并通过为SSL配置管理提供单一管理平台来消除SSL配置的复杂性和错误。

部署WAF非常有用，特别是如果您希望：

• 提升您的应用程序安全性 - 如果您已经在SSL实验室中获得了很好的成绩，并且您希望在不降低SSL实验室等级的情况下扩展应用程序安全性
• 提升您的SSL实验室成绩 - 如果您的网络服务器得分不是最佳，每个标准WAF应该能够帮助提高您的成绩

如何使用SecureSphere WAF获取SSL实验室A +级

通过我们针对SecureSphere WAF的新版本13.0版本，使用SSL Labs实现完美的A +等级是一个简单的过程。我们使用开箱即用的配置模板完成了所有工作，该模板消除了用户的障碍。

需要注意的一点是，您必须以反向代理模式部署，透明反向代理或内核反向代理。让我们按照以下两个简单的步骤：

1）查看开箱即用的SSL设置

在主工作区中，选择“设置”>“全局对象”。在Scope Selection窗格中，选择SSL Settings并选择“SSL Labs A + RP Server Side SSL Settings”模板以查看配置并确保您可以接受。

图2：在SecureSphere WAF中，设置自定义SSL设置或使用开箱即用设置获取SSL Labs A +等级

2）将设置应用于您的应用程序

在主工作区中，选择“设置”>“站点”。 在“站点树”窗格中，选择要保护的服务。 在“反向代理”选项卡中，选择反向代理规则（KRP或TRP）中的“SSL实验室A + RP服务器端SSL设置”，然后单击“保存”按钮。

图3：在SecureSphere WAF中应用设置，您就完成了！

而已！恭喜！

如果安装了包含所有中间CA证书的有效SSL证书并且在Web服务器或SecureSphere中启用了HSTS，则默认情况下应显示A +等级。

图4：使用SecureSphere WAF的SSL实验室A +级

注意：SSL实验室会根据技术变化定期更改其评分标准和方法，因此此处提供的信息适用于此帖子的发布日期。我们不断监控和跟踪SSL实验室的变化，目的是更新我们的产品以维持A +等级。

SSL足够吗？

不会。任何安全专家都会告诉您，单凭SSL是不够的，因为它只涉及安全性的一个方面。由于SSL / TLS仅确保安全连接，因此无法保证应用程序实际上不受任何类型的攻击。从SQL注入和跨站点脚本等技术攻击开始，再到业务逻辑攻击，例如站点抓取和帐户接管。

借助Imperva SecureSphere Web应用程序防火墙，企业可以保护Web应用程序，无论它们是部署在云中还是部署在外部。这应该有助于防止违规行为，以及由此造成的风险，成本和品牌损害。

 

原文：https://www.imperva.com/blog/achieve-ssl-labs-a-grade-with-imperva-waf/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

“建立声誉需要20年，破坏它需要5分钟。 如果你考虑一下，你会以不同的方式做事。“    - 沃伦·巴菲特

为了帮助打击犯罪，联邦调查局保留了一份公开的十大通缉犯名单，其中列出了最危险的罪犯。任何看到名单上某人的人都会知道报警，这使得这些罪犯更难犯下更多罪行。

在技​​术领域，有一个名为Project Honeypot的类似概念。 Project Honeypot维护一个已知的恶意IP地址列表，可供公众免费使用。 ModSecurity与Project Honeypot集成，可以自动阻止Project Honeypot列表中的IP地址。此过程称为IP信誉。

在这篇博文中，我们将介绍如何为NGINX和NGINX Plus配置ModSecurity 3.0以与Project Honeypot集成。

为什么“Project Honeypot”？

Project Honeypot是一个社区驱动的IP地址在线数据库，被怀疑是垃圾邮件发送者或机器人。为每个IP地址分配0到255之间的威胁评分;数字越大，IP地址越可能是恶意的。

Project Honeypot数据库由一个志愿者网络提供支持，他们建立了“蜜罐”。在这种情况下，蜜罐是网站上的虚假页面，当机器人扫描网站时显示，但对于使用网络浏览器访问网站的普通人来说是不可见的。当扫描程序跟踪蜜罐链接并尝试与页面交互（例如，嵌入的蜜罐电子邮件地址）时，IP地址将添加到数据库中。

有关Project Honeypot如何工作的更多详细信息，请单击此处。

先决条件

 

• 安装NGINX或NGINX Plus。
• 使用NGINX或NGINX Plus的说明安装ModSecurity 3.0。
• 安装并启用ModSecurity核心规则集（CRS）。
• 注意：NGINX Plus的ModSecurity 3.0现在称为NGINX WAF。

1.设置你的蜜罐

要开始使用Project Honeypot，请使用Project Honeypot提供的脚本在您的站点上设置蜜罐：

• 注册一个免费的Project Honeypot帐户。
• 设置蜜罐 -  Project Honeypot提供PHP，Python，ASP和其他一些语言的蜜罐脚本。
• 下载蜜罐脚本。

在这种情况下，我们使用PHP作为脚本语言。如果Project Honeypot不支持您的首选语言，那么PHP是一个不错的选择，因为使用PHP-FPM配置NGINX和NGINX Plus以运行PHP脚本非常容易。

有很多关于如何安装PHP-FPM的教程。对于Ubuntu 16.04及更高版本，您可以使用以下命令：

$ apt-get update

$ apt-get -y install php7.0-fpm

然后，您可以通过添加此服务器块来配置Project Honeypot PHP脚本：

server {
    server_name www.example.com;

    location ~ .php$ {
        modsecurity off;
        root /code;
        try_files $uri =404;
        fastcgi_split_path_info ^(.+.php)(/.+)$;
        fastcgi_pass localhost:9000;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
    }
}

笔记：

在server_name指令中，对于www.example.com，请替换您在Project Honeypot中注册的域名。

必须在蜜罐脚本上禁用ModSecurity才能使其正常运行。

在root指令中，/ code替换放置Project Honeypot脚本的目录。

安装脚本后，在Web浏览器中访问它并单击激活链接以激活蜜罐。

2.将蜜罐链接添加到所有页面

下一步是配置NGINX或NGINX Plus以将蜜罐链接添加到所有页面。

要捕获机器人和扫描仪，请在每个页面上插入蜜罐脚本的链接。该链接对于使用网络浏览器但对机器人和扫描仪可见的普通人来说是不可见的。在这里，我们使用sub_filter指令将链接添加到每个页面的底部。

location / {
    proxy_set_header Host $host;
    proxy_pass http://my_upstream;

    sub_filter '</html>' 
               '<a href="http://www.example.com/weddingobject.php"><!-- hightest --></a></html>';
}

在此示例中，我们的PHP蜜罐文件的名称是weddingobject.php。 sub_filter指令查找HTML页末标记</ html>，并在那里插入不可见的链接。

 

3.在核心规则集中启用IP信誉

现在我们已经设置了蜜罐，我们可以配置ModSecurity来查询所有HTTP请求上的Project Honeypot。

• 申请项目Honeypo thttp:BL access key.
• 在根据设置CRS的说明安装的文件/usr/local/owasp-modsecurity-crs-3.0.0/crs-setup.conf中，找到SecHttpBlKey块。

取消注释块中的所有行，并输入您在步骤1中获得的API密钥作为SecHttpBlKey的参数：

SecHttpBlKey my_api_key
SecAction "id:900500,
  phase:1,
  nolog,
  pass,
  t:none,
  setvar:tx.block_search_ip=0,
  setvar:tx.block_suspicious_ip=1,
  setvar:tx.block_harvester_ip=1,
  setvar:tx.block_spammer_ip=1"

请注意，在上面的示例中禁用了block_search_ip，因为您不太可能想要阻止搜索引擎抓取工具。

重新加载配置以使更改生效。

$ nginx -t && nginx -s reload

此时，Project Honeypot完全启用，ModSecurity在所有HTTP请求上查询Project Honeypot。为了最小化性能影响，只将来自给定IP地址的第一个请求发送到Project Honeypot，并缓存查询结果。

4.验证它是否有效

Project Honeypot查询基于客户端源IP地址。欺骗源IP地址并不容易，因此测试功能正常的好方法是将此自定义规则添加到/etc/nginx/modsec/main.conf。它将作为请求的一部分传入的IP地址参数的值发送到Project Honeypot：

SecRule ARGS:IP "@rbl dnsbl.httpbl.org" 
"phase:1,id:171,t:none,deny,nolog,auditlog,msg:'RBL Match for SPAM Source'

重新加载配置以使规则生效：

$ nginx -t && nginx -s reload

然后运行以下curl命令以使用Project Honeypot的已知错误IP地址列表中的IP地址测试规则（替换此处使用的示例地址的地址，203.0.113.20，这是为文档保留的标准地址）。如果规则正常，则使用状态代码403阻止请求。

$ curl -i -s -k -X $'GET' 'http://localhost/?IP=203.0.113.20'

HTTP/1.1 403 Forbidden

Server: nginx/1.13.4

Date: Wed, 04 Oct 2017 21:29:17 GMT

Content-Type: text/html Transfer-Encoding: chunked

Connection: keep-alive

摘要

在这篇博客文章中，我们介绍了配置ModSecurity 3.0以使用Project Honeypot的步骤。 Project Honeypot是一个非常有用的工具，可以自动阻止已知的坏人。它也是免费和社区驱动的。

原文：https://www.nginx.com/blog/modsecurity-and-project-honeypot/

本文：http://pub.intelligentx.net/node/591

讨论：请加入知识星球或者小红圈【首席架构师圈】

 

无论您的业务规模有多大，部署来阻止威胁参与者访问服务器、工作站和数据的最有效的安全措施是硬件防火墙。硬件防火墙将确保您的数字资产得到良好的保护，但如何配置防火墙以实现最佳的网络安全？如果遵循网络分段最佳实践并设置防火墙安全区域，则可以提高安全性，并使内部网络保持隔离并免受基于web的攻击。

什么是网络分割？

顾名思义，网络分割就是将计算机分割成更小的部分，通过这样做，您可以将系统和应用程序彼此分离。如果系统之间没有交互，就不需要它们在同一个网络上。如果是这样的话，它只会让黑客在周边防御被攻破的情况下更容易获得一切。网络分割也有助于提高性能。每个子网上的主机越少，本地通信量就越少。它还可以提高监控能力，帮助It团队识别可疑行为。

网络分段安全优势

网络分割有许多好处，其中安全性是最重要的。拥有一个完全平坦和开放的网络是一个重大风险。网络分段通过将对资源的访问限制在组织内特定的个人组中来提高安全性，并使未经授权的访问更加困难。如果系统受损，攻击者或未经授权的个人只能访问同一子网上的资源。如果必须让第三方访问数据中心中的某些数据库，通过对网络进行分段，您可以轻松地限制可访问的资源，它还提供了更高的安全性，以抵御内部威胁。

网络分割最佳实践

大多数企业都有一个定义良好的网络结构，其中包括一个安全的内部网络区域和一个外部不受信任的网络区域，通常有中间安全区域。安全区域是具有类似安全要求的服务器和系统组，由一个3层网络子网组成，多个主机连接到该子网。

防火墙通过控制进出这些主机和安全区域的流量（无论是在IP、端口还是应用程序级别）提供保护。

有许多网络分段的例子，但是没有一种配置适合所有业务和所有网络，因为每个业务都有自己的需求和功能。但是，应该遵循网络分割的最佳实践。我们在下面概述了这些和防火墙DMZ最佳实践。

建议的防火墙安全区域划分

在上图中，我们使用防火墙安全区域分割来保持服务器的分隔。在我们的示例中，我们使用了一个防火墙、两个DMZ（非军事化）区域和一个内部区域。DMZ区域是一个独立的3层子网。

这些DMZ区域中的服务器可能需要面向Internet才能正常工作。例如，web服务器和电子邮件服务器需要面向Internet。由于这些服务器面向internet，因此最容易受到攻击，因此应与不需要直接访问internet的服务器分离。通过将这些服务器保持在单独的区域中，您可以将其中一个面向Internet的服务器受到损害的情况降到最低。

在上图中，允许的交通方向用红色箭头表示。如您所见，内部区域和DMZ2（包括应用程序/数据库服务器）之间允许双向通信，但内部区域和DMZ1（用于代理服务器、电子邮件和web服务器）之间只允许单向通信。代理服务器、电子邮件服务器和web服务器被放置在应用程序和数据库服务器的单独DMZ中，以获得最大的保护。

防火墙允许从Internet到DMZ1的流量。防火墙应只允许通过某些端口（80443、25等）进行通信。应关闭所有其他TCP/UDP端口。不允许从Internet到DMZ2中的服务器的通信，至少不能直接。

web服务器可能需要访问数据库服务器，虽然让这两个虚拟服务器在同一台计算机上运行似乎是一个好主意，但从安全角度来看，应该避免这样做。理想情况下，两者应分开放置在不同的DMZ中。这同样适用于前端web服务器和web应用服务器，它们应该类似地放置在不同的dmz中。DMZ1和DMZ2之间的通信毫无疑问是必要的，但应该只允许在某些端口上进行。DMZ2可以在某些特殊情况下连接到内部区域，例如通过活动目录进行备份或身份验证。

内部区域由工作站和内部服务器、不需要面向web的内部数据库、活动目录服务器和内部应用程序组成。我们建议内部网络上的用户通过位于DMZ 1中的HTTP代理服务器进行Internet访问。

请注意，内部区域与Internet隔离。不允许从internet到内部区域的直接通信。

上述配置为您的内部网络提供了重要的保护。如果DMZ1中的服务器受到破坏，您的内部网络将保持保护，因为内部区域和DMZ1之间的通信只允许单向。

通过遵循网络分段最佳实践并使用上述防火墙安全区域分段，您可以优化网络安全。为了增加安全性，我们还建议使用基于云的web过滤解决方案，如WebTitan，它可以过滤互联网，并防止最终用户访问已知承载恶意软件或违反可接受使用策略的网站。

 

 

 

原文：https://www.spamtitan.com/web-filtering/network-segmentation-best-practices/

本文：http://jiagoushi.pro/node/1047

讨论：请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】

 

介绍

分割的概念并不新鲜。在古代历史上，罗马人根据被俘战士的种族和地理特征创建了战斗单位。这个想法很简单：把背景相似的战士组合在一起，这样他们就可以团结起来，最终成为更好的战斗单位。纵观历史，这一概念一直被用作创建宗教、种族、地理、性别和政治团体的基础[1]。当我们观察数字世界时，组织一直在通过逻辑或物理方法执行用户、流量或数据分割，以保护其基础设施的核心部分。

整合和集中网络基础设施一直是细分的关键驱动因素。以前被隔离的应用程序基础架构现在正在迁移到公共的共享物理和虚拟网络，这些网络需要隔离才能保持一定程度的隔离。同样，随着虚拟化、容器、智能手机、平板电脑、无线连接以及最近的物联网（Internet of Things，IoT）的引入，网络在过去几年经历了巨大的转变。组织已经通过二级技术（如VLAN、虚拟路由和转发（VRF）和虚拟防火墙）使用策略强制作为提供网络分段的流行方法。想到的一个显而易见的问题是，如果组织已经在划分其网络组件，为什么我们需要讨论这个话题？在回答这个问题之前，让我们先介绍几个数据点。

网络设计：

传统的网络架构是通过把皇冠上的宝石（数据）放在一个戒备森严的城堡（数据中心）中构建的。你会有一种舒服的感觉，你所有的关键资源都有一个强大的外围保护，如果不明确允许，任何东西都不能通过你的防御。这个设计最大的缺陷是：如果城堡里已经有未经授权的实体怎么办？如果未经授权的实体已经可以访问珠宝怎么办？如果未经授权的实体找到了把珠宝搬出你城堡的方法呢？

具有有限分段和数百个用户和应用程序的组织通常会遇到N*M问题，其中N是用户组的数量，M是关键资源的数量，如图1所示。简单地说，每个用户组都可以访问企业网络中几乎所有的应用程序。

图1：用户组到资源（N*M）的关系

如果在单个用户级别提供访问而不按一组公共特征对用户进行分组，则N*M问题会变得更糟。通过显式地允许用户组访问授权资源，使用最小权限原则有助于简化此问题。如果将每个用户组的授权资源组合在一起，则此问题的严重性将降低到N+M。请仔细查看图2中箭头的方向，该箭头说明了一种单向分段策略，允许用户组对授权资源具有适当的访问权限。

Figure 2: User Group to Resource (N+M) Relationship

数据泄露：

我们都同意，安全形势在过去几年中发生了变化。网络攻击变得越来越复杂和有针对性。如果你看看最近的数据泄露，一个突出的问题是这些网络的布局。为了满足业务需求，大多数拥有大型网络的公司忽略了安全性的大部分方面，有时会使他们的网络变得几乎平坦。此外，大多数组织的流量可见性有限，并且缺乏正确定义的分段策略。这些数据泄露表明，一旦恶意参与者侵入了您的外围防御，他们就可以在您的网络中自由漫游。作为侦察活动的一部分，他们试图确定访问关键资源和数据的方式。如果网络是平坦的，并且用户能够在只有有限安全控制（如身份验证或基于IP的访问控制列表）的情况下访问任何资源，那么攻击者几乎不需要做什么工作来利用这些漏洞。

业务目标：

组织的两个主要目标是盈利能力和生产力。在许多情况下，组织最终会扩展其网络基础设施，以满足用户和消费者的需求。这一问题通常因收购带来的无机增长而加剧，收购过程中，两个或多个网络通过虚拟隧道连接，作为整合过程的一部分。当需要快速集成时，这就成了一种创可贴，而安全性则成为一种事后考虑。

应用程序安全性：

在过去，应用程序和服务更简单，在企业中并不普遍。只有少数几个应用程序被选定的用户组在整个企业中使用。这些应用程序被放置在一个由一组安全和监视产品保护的数据中心中。尽管此模型相对简单，但它对托管在数据中心内的应用程序缺乏保护。此外，应用程序通常由防火墙分组和分隔。然而，当两个应用程序是同一个应用程序组的一部分时，此模型对它们之间的通信缺乏保护。

用户和数据移动：

用户不局限于办公室的物理边界。在这个数字时代，没有国界。传统的数据保护模式不再适用。用户可以在任何地方，使用任何设备，随时访问数据，并通过有线、无线或移动基础设施连接。随着智能设备的发展，对数据的访问不限于公司发布的设备。如果珠宝不在城堡里，你的城堡有多安全并不重要。数据本身可以是任何地方——企业数据中心、云（公共、私有、混合）或合作伙伴的网络，举几个例子。

数据可见性和监控：

超过50%的网络攻击在数月内都没有被组织发现。如果您对您的IT基础架构没有完全的可见性，如果您不知道谁在访问您的网络，他们在做什么，他们从哪里来，他们使用什么设备，以及他们如何从网络的一部分跳到另一部分，你如何保护自己免受威胁（有意或无意，直接或间接）？由于缺乏确定流量模式的区域，监控成为一个更大的挑战。

一旦可以接受的安全措施，如分割网络、配置VLAN、部署防火墙和创建虚拟路由表，就不再足够了。将用户和应用程序放入VLAN，并通过访问控制列表过滤流量，可实现有限的流量分离。随着网络虚拟化、云的采用和设备的激增，在允许访问关键数据之前，必须查看连接的整个上下文。随着网络威胁的不断演变，在网络层提供严格的分割不足以确保完整的数据保护。

数据驱动分割框架

我们需要的是一种新的方法，它能够适应当今以应用程序为中心的业务环境，能够结合来自不同来源的威胁情报，并且能够围绕端到端的数据连接构建完整的上下文。这种方法可以根据对应用程序、用户、使用者、威胁参与者和设备的理解，通过构建适当的访问控制方法，动态地划分这些数据连接。目前还没有一个框架可以将基础设施分解为单独的组件，在相关组件之间建立连接，然后应用访问控制模型来实现完全的流量隔离。我们需要一个超越技术控制和产品的框架，这些技术控制和产品通常作为解决这些安全问题的辅助手段部署，一个为高级管理层和网络架构师提供蓝图的框架，以确保分割是总体战略中不可或缺的一部分。

本文提出了一个框架，如图3所示，它以企业的业务关键资源为中心。此框架有助于识别需要访问这些资源的元素，围绕这些元素构建墙，然后应用访问控制策略来授权连接。完成本文所述的细分过程练习将迫使组织详细评估其网络安全计划，因为只有在微观层面上对企业的所有部分进行评估后，才能实现真正的细分，包括将基础结构组件分解为对象并建立适当的关系。

图3：数据驱动的分割框架

框架由以下组件组成：

业务关键资源：

建议的框架从逻辑上分解网络基础设施开始，并将业务关键资源放在体系结构的中心。业务关键型资源可以是您想要保护的任何内容，以防止未经授权的用户或对象访问。例如，如果您从事零售业务，它可能是您的PCI网络。如果你在医疗行业，它可能是存放病人信息的服务器。如果你是在汽车工业，它可能是包含你的下一辆车蓝图的系统。重要的是，您有一个适当的流程，让您可以看到您的网络元素，并知道它对您的价值，以防关键资源受到损害。如果数据泄露给未经授权的实体，则必须确定所涉及的适当风险。

对象：

一旦你知道你的关键资源是什么，下一步就是把你的网络架构分解成不同的对象。这些对象是用于交换数据内容的离散元素。对象的常见示例包括用户社区、访问网络的设备、为您的使用提供或承载数据的应用程序，以及提供与应用程序连接的系统。在这里，您将标识驻留在网络上或需要访问您的数据的所有元素。不仅如此，您还要识别这些对象以了解数据交换流。

当您开始识别每个对象的子元素时，这些对象对构建分割模型的影响显著增强。属于销售、工程、服务、营销、人力资源和合作伙伴组织的用户都可以是用户子对象的示例。有关每个对象定义的子元素列表，请参见表1。

表1

对象	定义	子对象示例
用户	可以提供分配的标识信息的对象	销售、工程、服务、营销、人力资源、合作伙伴组织
设备	需要访问基础设施以请求和接收数据的对象	公司发行的笔记本电脑、公司发行的移动设备、个人移动设备、IT拥有的打印机和扫描仪
系统	控制应用程序和设备之间数据连接的对象	虚拟主机、管理程序、软件映像、后端数据库
应用	通过某些接口直接或间接访问数据的对象	Web服务器，AD/DNS/NTP服务器

识别和创建子对象将允许组织在这些元素之间建立信任关系。信任关系可以在两个不同的对象或子对象之间建立，也可以在同一元素的两个子对象之间建立。如图4所示，在企业中标识了两个应用程序，活动目录（AD）和网络时间协议（NTP）。根据它们之间的关系和数据交互，属于AD的对象需要与NTP中的对象通信以同步它们的时钟。问题是，当NTP中的对象试图访问AD中的对象时，是否需要提供对这些对象的访问权限？答案取决于您的网络实现。不要盲目地允许这些对象之间的完全通信。如果您觉得NTP服务器需要与AD服务器通信，那么就允许它。

图4：应用程序到应用程序细分

分段策略允许组织根据信任模型验证源对象发出的请求，然后提供应用适当的强制操作以保护目标对象的方法，如图5所示。

图5：分段策略示例

地点：

如前所述，我们倾向于把珠宝放在一个安全的地方，在周围建立一个安全的边界。我们没有意识到的是，小偷可能会尝试不同的方法来偷你的东西。他们不会总是从外面进来。他们可能已经在你的安全屋里，或者已经可以通过其他途径接触到你的珠宝。框架需要确定关键资源的所有入口点。随着越来越多的云服务的采用，一些数据可以在控制点之外访问。云中托管的服务也有可能访问数据中心中的数据。

根据业务的性质，您可能有一个需要访问特定数据的合作伙伴生态系统。你知道他们从哪里连接，或者他们如何访问你的数据吗？你确定他们没有权限访问未经授权的数据吗？框架内的灵活性允许您根据您的组织结构和需要逻辑地将一个位置拆分为特定区域。有关位置、其定义和子位置列表的示例，请参见表2。

表2

位置	定义	子对象示例
内部	用户和设备连接到访问网络的网络的一部分	用户、访客、实验室、生产子网、VPN、工业控制空间
外部	网络的一部分，通常不在您的控制范围内，您可能不知道访问您的数据的用户或设备	Internet, Extranet
云	网络的一部分，由提供商管理和维护，可以访问您的DMZ网络	AWS, Azure, Salesforce.com
供应商	供应商和其他合作伙伴连接的网络的一部分	Extranet, partner subnet

通过对网络的这种分解，您应该能够确定属于工业控制区域的设备是否需要访问您的用户网络。

标识：

框架最重要的组件之一是确定对象的标识，无论它们是用户、设备还是应用程序。通过现有的用户数据库可以相对容易地找出用户的身份。您是否有确定设备或应用程序标识的过程？您知道用户是从公司发行的设备还是从个人拥有的移动设备请求访问数据吗？

同样，对于大型工业制造商，可能有许多供应商定期访问制造厂，对现场设备进行维修和故障排除。必须确定请求访问网络所有部分的对象的标识。您是否允许您的供应商完全访问您的内部网络？

监控：

如果您对网络体系结构没有完全的可见性，则任何安全框架都是不完整的。安全监控是通过收集、检查和分析各个安全区域的流量来实现的。这包括从以下位置收集数据：

• 边缘的IPS系统，用于检查和分析从外部进入网络的流量
• 不同对象之间的防火墙，以发现标识并实施适当的安全控制
• 设备探查器，以发现尝试请求网络访问的设备类型
• NetFlow系统帮助您识别通过网络的流量类型，更重要的是，帮助您识别应用程序的使用情况

操作安全：

许多人常常认为信息和网络安全只是技术和产品的问题，关注的是它们的可靠性和复杂性。他们常常忽视根据资产的安全风险来评估业务目标。缺乏可信和相关的安全操作流程通常会导致安全漏洞，包括个人和/或机密数据被盗。例如，在数据泄露的情况下，您是否知道：

• 哪个设备是零号病人？
• 攻击者如何访问数据？
• 发现恶意事件需要多长时间？
• 控制这一事件需要多长时间？
• 操作人员执行了哪些流程来检测异常情况？
• 事件的生命周期是什么？
• 修补程序管理或事件管理流程是否得到正确遵循？

这些只是一些例子，但列表可能要长得多。目标是为每个高级流程（或操作区域）定义一组子流程，然后为每个子流程构建度量。更重要的是，将这些指标组合成一个模型，用于跟踪运营改进。

行为分析：

在目前讨论的所有不同组件中，行为分析是最重要的。它把所有的东西组合在一起，完成了这个框架。一旦您知道哪些设备正在连接到您的网络，哪些应用程序正在托管，谁在请求访问，以及对象的位置，您就可以为连接请求构建一个全面的上下文，并创建一个分段策略来授权或拒绝会话。要实现这一点，您需要准备好以下模块：

• 用于发现对象（用户、设备、应用程序、系统）的标识模块
• 位置模块以了解请求的发起位置
• 监控模块从所有适当的源（如路由器、防火墙、交换机、NG-IPS、探查器、应用程序、管理程序）收集数据
• 安全操作中心（SOC）中分析员调查异常和控制安全事件的操作安全模块

图6提供了一个示例，其中销售团队的一个用户请求访问一个数据库，该数据库包含该地区所有客户的联系信息。这个请求来自目前位于用户家中的iPad。我们如何知道这个连接的属性？让我们把它分解。假设数据库及其前端应用程序位于一个安全的数据中心中，没有外部访问权限，则用户有两种访问客户信息的选项：

• 从公司网络连接
• 或者，建立到网络的安全连接（例如SSL VPN）

如果连接请求来自为VPN用户分配的子网，我们知道该用户位于公司网络之外（可能在其家中）。根据身份验证凭据，用户将被放入销售容器中。最后，profiler帮助识别设备类型并将其放入iPad部分。现在我们已经拥有了这个请求的所有信息，行为分析应用授权操作的访问模型并隔离连接。

图6：基于上下文的分段策略

这个框架的优点是它可以帮助您划分任何对象。无论您有在云中托管数据的应用程序、在数据中心中包含数据的主机，还是可以访问云中和私有数据中心中的数据的应用程序，该框架都为您提供了用于构建对象特定区域、创建连接上下文和动态应用访问控制模型的工具。

分割策略

在企业中制定细分战略是确保实施成功的基础。在设计分段时，大多数网络架构师或工程师都将注意力集中在更大的网络区域：DMZ、Core、数据中心、广域网、校园网等。虽然这是一个很好的第一步，但还不足以应对当今的安全威胁。大多数机会主义攻击者利用隔离有限的事实，允许他们在网络中自由漫游。

框架只有在有实现策略的情况下才有用。该战略应足够全面，以提供企业保护其珠宝所需的所有工具。本文阐述了一个细分策略生命周期，它从识别现有资源和加入任何新资产或资源开始。以下小节将更详细地讨论每个步骤。

图7：细分策略步骤

识别：

如前所述，分割应该基于关键业务资产或资源的价值，而不仅仅是基于网络边界。攻击者的第一步是侦察。这基本上就是分割策略的第一步：识别资源（数据和资产）。

为了保护（或危害）网络，收集有关网络上可能存在的各种弱点的情报是很重要的。攻击者利用这些弱点侵犯其他资源，使攻击者有权访问所有关键资源。这使得任何类型的资源，即使是被认为具有低价值的资源，如果被用作网络的入口点，并导致一个更有价值的目标，都是非常有价值的。要问的问题是：

• 如果被破坏，对资源有什么影响？
• 资源被破坏的可能性有多大？

这些资产或对象本质上主要是数字的，可以包括但不限于：

• 硬件：服务器、网络设备、工作站、手持设备、IP电话、物理安全组件、连接的外围设备和附件，如打印机、扫描仪、IP电话、语音和视频协作工具
• 软件：操作系统、服务器和客户端应用程序、固件
• 文档：网络图、资产信息、产品设计、员工信息

资产的价值不是基于其物理硬件的价值，而是基于其包含的数据的价值。如果一台包含员工私人信息的iPad被盗，那么损失的总价值不仅仅是更换500美元iPad的成本。

分类：

这项工作的结果是全面了解网络上的资源及其风险分类和评级。组织应该了解各种资源之间的关系，而不是单独对待它们。一个低价值目标最终可能提供对一个非常高价值目标的访问，因此整个链应该受到充分控制的保护。根据组织的规模，这可能是最耗时的步骤之一。可以遵循各种方法和/或框架，对网络中存在的资源进行彻底评估[2][3][4]。

现在，您应该能够进入创建分段策略的下一步，该策略使用每个资产的值来确定应如何保护它。例如，如果用户工作站被视为低值目标，但用于危害高值系统（如员工数据库），则还应根据其访问的资源对工作站进行分段。

策略创建：

大多数网络安全程序没有明确要求分段策略。它通常在程序中的各个主题中被间接地提到，不幸的是，这并没有给予它足够的重要性或价值。例如，访问控制策略可能会指出人力资源员工不应如何访问财务系统。这可以简单地通过防火墙上的访问控制列表和VLAN来实现，VLAN可以保护资源，但不一定关注分段本身。

应该根据在前面步骤中收集的有关资源的数据来构建分段策略。这个策略应该从高层次开始，通过传统的网络边界（如DMZ、数据中心和校园）隔离各个区域，然后逐步深入到每个区域。这个过程应该一直持续到应用程序本身，本质上是向上移动OSI模型的层。一旦发现所有对象（甚至子对象），应根据这些对象的类型和位置以及请求访问托管或包含数据的各种资源的用户来制定策略。深度取决于资产的关键程度，因为在某些情况下，为某项资产进行整个流程的相关成本可能是不合理的。

图8：钻入区域

考虑两种资产：

第一种是保存信用卡信息的服务器，第二种是开发团队用于内部测试的SMTP服务器。任何一种资产的折衷都会导致一些损失；然而，一种资产的价值要比另一种资产的价值高很多。丢失客户信用卡数据会给组织带来巨大的金钱和法律损失。这需要一个组织分配足够的资源来确保这样的资产得到良好的保护。

一旦创建了分段策略，就应该通过各种访问控制模型来实现这些控制。

访问控制建模：

有多个访问控制模型可供选择[5]。使用哪种模型取决于场景。

网络工程师最熟悉基于网络的ACL，虽然它们是控制较大区域之间的访问的好方法，但很难使它们细化，特别是因为它们大多是静态的，并且随着时间的推移很难管理。我们采用的模型是多个模型的混合，一个不完全依赖OSI第3层和第4层，但也考虑了多个访问控制模型。这包括但不限于：

• 基于属性的访问控制（ABAC）
• 基于角色的访问控制（RBAC）
• 基于身份的访问控制（IBAC）
• 基于规则的访问控制（RuBAC）
• 表3提供了访问控制模型的示例。

表3

身份	属性	角色	画像
公司Windows工作站上的HR用户	User group: HR endpoint profile: Windows device auth: Successful	HR	访问人力资源系统和网络代理
HP 打印机	Endpoint profile: HP printer device auth: Successful	Printer	仅从打印服务器访问

使您能够实现所述模型的一个解决方案是Cisco TrustSec。

执行：

一旦定义了访问控制模型并在此模型中映射了适当的策略，下一步就是实现这些控制。这涉及到周密的计划，这将导致相关技术的采购、设计和实施。这可以分为以下几个阶段：

• 计划
• 采购
• 设计
• 实施/迁移
• 监视

图9：执行阶段

计划和采购：

执行的这一阶段需要列出满足细分策略目标的需求列表。一旦你对保护什么和保护什么有了准确的理解，下一步就是确定需要哪些工具、技术和程序来提供这种保护。重要的是不要从在整个组织中实施细分战略开始。这导致了高昂的成本，需要大量的资源。根据您的数据/资源分类和访问控制模型，通过对处理和存储业务关键型数据的组织部分进行优先级排序来构建实施计划。你不会一夜之间拥有一个完全细分的基础设施。这是一次可能需要几个月甚至几年的旅程。从第一天起，正确的战略将确保以最具成本效益的方式取得成功。

整个执行需要通过适当的程序管理来执行。多个团队将需要管理：IT、采购、人力资源、财务和法律，并有公平的交叉对话，以确保顺利进行。

一旦需求明确，组织可以浮动一个RFP（直接或间接通过合作伙伴），并根据响应评估哪些技术最适合实施细分所需的控制。强烈建议通过飞行员或概念验证来验证这些技术，以确保它们满足要求并通过各种烟雾测试。遗漏关键功能可能会导致不必要的延迟，在某些情况下，可能会导致后期安全问题的解决方案或折衷方案。

设计：

在大多数情况下，组织的首席架构师或外部顾问将监督产品供应商创建的设计。在细分方面，设计应侧重于核心要素，包括：

• 位置：资源在网络中的位置，以及如何与网络的其他部分分割？
• 设备和应用程序：资源是否需要访问其他资源？其他资源需要访问吗？例如，多层应用程序可能有前端（web）、中间件或后端（数据库）。每个服务都在自己的容器中运行吗？每个服务对其他服务有什么特权？服务之间的关系是什么？
• 用户：正常情况下，用户设备不需要直接相互通信。这是怎么处理的？用户可以访问什么？组织如何证明用户的端点具有相同的访问级别，而不管其位置如何？

该设计基于供应商在其自身环境中进行的测试，以确保在初始规划和采购阶段工作期间所承诺的所有功能和功能符合预期。如果涉及多个供应商，并且需要在所有供应商之间进行集成，则应在组织的过渡网络上执行阶段期间要求进行测试。

在这个阶段或更早的阶段，确定试点设置是很重要的，这将涉及到多个利益相关者和工作人员的参与。试点的目的是使用资源（人员、流程、技术和技术）测试所有特性，以便在向整个企业推出之前解决任何挑战和问题。

一旦设计完成，就是开始实现的时候了。此时，任何硬件或软件都应该已经交付。对于硬件，应该对其进行机架、堆叠、连接和通电，并进行任何初步的后期测试，以确保其正确启动。

实现和测试：

实现阶段假设所有硬件都已测试并按预期工作。在后期测试期间可能失败的任何组件都应该被替换并准备好进行配置。实现应该遵循基于设计创建的计划。这包括供应商在设计阶段已经在其环境中测试和验证的详细配置。

必须执行测试，以确保所有操作都按照解决方案的规范和预期进行。测试应遵循正确的方法，并应评估随后记录的功能和特性。测试过程中遇到的任何问题都应与供应商一起解决，并在进入实施阶段之前予以纠正。

如前所述，试验对这一阶段很重要，应在功能和特性测试完成后进行。测试性能、弹性、用户体验和互操作性，并解决在初始阶段可能忽略的任何问题。试验阶段还应跨越地点、部门、技术和资源。这种接触确保所有利益攸关方都参与这一进程，并将努力妥善解决所面临的任何挑战。

监控：

这一步在大多数企业中并不重要。监视是保护网络不受入侵者攻击并确保系统和网络按规范运行的关键。监视标志着整个分段策略的高潮，是将人员、流程和技术聚集在一起以保持受保护资源的完整性的粘合剂。密切关注网络不仅可以方便地检测到任何异常活动，而且有助于识别在初始过程中可能丢失的任何资源，无论是新的还是现有的。这将决定是否需要整个分段生命周期中的另一个迭代。

 

References

Choosing the Right Segmentation Approach

http://www.dmnews.com/dataanalytics/choosing-the-right-segmentation-approach/article/68918/

An Introduction to Information System Risk Management

https://www.sans.org/reading-room/whitepapers/auditing/introduction-information-system-risk-management-1204

Managing Information Security Risk

http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf

TOGAF Version 9.1

http://pubs.opengroup.org/architecture/togaf9-doc/arch/

Access control - Access control models from Wikipedia

https://en.wikipedia.org/wiki/Access_control#Access_control_models>

 

原文：https://tools.cisco.com/security/center/resources/framework_segmentation

本文：http://jiagoushi.pro/node/1048

讨论：请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】

介绍

ModSecurity是一种流行的开源工具，最初设计为Apache HTTP服务器的模块，用于保护Web应用程序。它是一个Web应用程序防火墙（WAF），主要用于实时Web应用程序监视，日志记录和访问控制。

为何选择ModSecurity

ModSecurity有两个主要方面，可以在Access Gateway中非常有效地利用。首先，ModSecurity的核心是允许管理员实时访问HTTP流，并具有解析它的能力。这对于实时安全监控至关重要。第二个方面是它允许对外部各方的行为进行持续的安全评估，以及系统本身在后台的行为。它是第一道防线，可以在被利用之前检测到许多异常和安全漏洞的痕迹。

在本文中，ModSecurity被部署为Apache模块，因此嵌入到Access Gateway中。因此，Access Gateway的资源由ModSecurity共享。更多细节将在本文的后面部分中介绍。

这篇文章是什么

本文详细介绍了以下几个方面：

1. 如何在Access Gateway上启用ModSecurity
2. 安装Open Web Application Security项目的核心规则集
3. 配置ModSecurity详细/监控模式
4. 对性能的影响

规则和核心规则集（CRS）3.x

ModSecurity是一个需要规则的引擎。规则使其成为一个非常强大且通用的引擎，可将HTTP请求和响应控制到字节级别。为了充分利用其功能，ModSecurity提供了一种平台，一种规则配置语言，称为“SecRules”，用于基于规则对HTTP通信进行实时监控，记录和过滤。

ModSecurity最常用于使用开放式Web应用程序安全项目（OWASP）核心规则集（CRS）提供针对一般漏洞类的保护。这是一套用ModSecurity的SecRules语言编写的开源规则。 CRS旨在保护Web应用程序免受各种攻击，包括OWASP十大攻击，并且只需最少的虚假警报。核心规则集提供针对许多常见攻击类别的保护，包括：

 

• SQL注入（SQLi）
• 跨站点脚本（XSS）
• 本地文件包含（LFI）
• 远程文件包含（RFI）
• 远程执行代码（RCE）
• PHP代码注入
• HTTP协议违规
• HTTPoxy
• Shellshock
•  
• 会话固定

 

如何安装ModSecurity和CRS

ModSecurity tarball具有ModSecurity Apache模块Ver 2.9.2和OWASP的Core Rule Set Ver 3.0.2。

请按照下面提到的步骤启用带有CRS的ModSecurity模块：

• 下载附加的tarball并将其复制到/ etc / opt / novell / apache2 / conf /

# cp ModSecurity.tar.gz /etc/opt/novell/apache2/conf/
# cd /etc/opt/novell/apache2/conf/

 

• 解压缩tarball。

 #tar -zxvf ModSecurity.tar.gz

 

• 在/ etc / opt / novell / apache2 / conf /下将有一个新目录ModSecurity。在/ etc / opt / novell / apache2 / conf /下复制两个新目录，如下所示：

# cp -r ModSecurity/modsec.d  /etc/opt/novell/apache2/conf/
# cp -r ModSecurity/owasp-modsecurity-crs-3.0.2  /etc/opt/novell/apache2/conf/

 

• 创建符号链接。

 

#ln -s owasp-modsecurity-crs-3.0.2 crs

 

• 删除未使用的文件和文件夹

#rm -r ModSecurity ModSecurity.tar.gz

 

• 将modSecurity模块复制到相应的Apache目录。

对于NAM 4.4.3

#cp ModSecurity / 4.4.3 / mod_security2.so / opt / novell / apache2 / libexec /

对于NAM 4.4.2

#cp ModSecurity / 4.4.2 / mod_security2.so / opt / novell / apache2 / libexec /

 

• 打开/etc/opt/novell/apache2/conf/httpd.conf。

在httpd.conf文件的LoadModule部分的开头添加以下行。

LoadModule security2_module libexec / mod_security2.so

取消注释同一部分中提供的以下行。

LoadModule unique_id_module libexec / mod_unique_id.so

 

• 将以下设置添加到AG Global Advanced Option。

<IfModule security2_module>
  SecRuleEngine Off
  Include /etc/opt/novell/apache2/conf/modsec.d/modsecurity-base.conf
  Include /etc/opt/novell/apache2/conf/modsec.d/crs.conf
</IfModule>

 

• 将以下设置添加到代理服务的高级选项，以启用具有详细模式的ModSecurity Rule Engine。

<IfModule security2_module>
  SecRuleEngine DetectionOnly
</IfModule>

有一些配置/指令对于ModSecurity和CRS按预期一起工作至关重要，而不会产生任何意外情况。

以下部分介绍了一些设置及其用法，并提供了详细说明。 ModSecurity和CRS的README和conf文件也可用于参考。

 

高级配置或设置

在生产环境中启用ModSecurity时，始终存在一些风险和影响。存在误报的可能性，阻止合法用户访问资源，性能下降等。当ModSecurity部署为破坏模式时，机会很高。

以下是一些通用和推荐的设置，这些设置使ModSecurity不那么冒犯，并且永远不会阻止任何请求。

它是详细的模式，其中为检测到的任何安全威胁创建单独的日志。

还有一些设置可以衡量对性能和其他服务器资源的影响。

在上述安装步骤中复制的配置文件（crs-setup.conf和modsecurity-base.conf在路径/ etc / opt / novell / apache2 / conf /中可用）已启用以下设置。

详细模式

设置ModSecurity规则引擎来处理规则但从不执行任何破坏性操作（阻止，拒绝，丢弃，允许，代理和重定向）是通过以下方式完成的：

SecRuleEngine DetectionOnly

注意：管理员可以将其设置为开启，并在第一轮测试和性能影响分析后使用其他设置，如异常阈值，采样百分比等。

ModSecurity生成的日志使用以下方式转储到新文件：

SecDebugLog / var / log / novell-apache2 / modsec_l​​og

调试日志数据的详细程度如下所示

SecDebugLogLevel 3

级别1-3的消息始终复制到Apache错误日志。因此，管理员可以使用级别0作为生产性能中的默认日志级别非常关键。话虽如此，最好使用的值是3，因为在详细模式下ModSecurity，分析与ModSecurity相关的警告和错误将更容易。

异常得分

具有异常评分模式的CRS是默认和推荐模式，因为它提供最准确的日志信息，并在设置阻止策略时提供最大的灵活性。在此模式下，每个匹配规则都会增加“异常分数”。 CRS中的每个规则都具有关联的严重性级别。这些是每个严重性级别的默认评分点。如果规则匹配，这些设置将用于增加异常分数。这些分数是累积的。因此，请求可以达到多个规则。

在异常模式下，还有一个阻止阈值级别。这是到达入站请求或出站响应被阻止时的级别。阻止评估规则应用破坏性操作，理想情况下返回错误403.通常的做法是启动具有提升的异常评分阈值（> 100）的新CRS安装，然后随着您对设置的信心增长而降低限制。

当前异常模式阻止入站请求的阈值级别设置为500，因为该想法不是在测试阶段阻止请求。如果请求达到500，那么请求或配置错误确实很糟糕。以下是当前设置：

SecAction  "id:900100,  phase:1,  nolog,  pass,  t:none,  setvar:tx.critical_anomaly_score=5, \ setvar:tx.error_anomaly_score=4, setvar:tx.warning_anomaly_score=3, \ setvar:tx.notice_anomaly_score=2"

SecAction  "id:900110, phase:1, nolog,  pass, t:none, setvar:tx.inbound_anomaly_score_threshold=500, \ setvar:tx.outbound_anomaly_score_threshold=500"

注意：仅当SecRuleEngine设置设置为On时，具有破坏性操作的异常设置才有效

偏执狂水平

偏执等级（PL）设置允许管理员选择所需的规则检查级别。随着每个偏执级别的增加，CRS启用了额外的规则，为您提供更高级别的安全性。然而，较高的偏执水平也增加了由于误报（误报）阻止某些合法流量的可能性。偏执级别为1是默认值。在此级别中，启用了大多数核心规则。 PL1建议初学者，涵盖许多不同站点和应用程序的安装，以及具有标准安全要求的设置。在PL1，误报是非常罕见的。这是默认设置

SecAction   "id:900000, phase:1, nolog, pass, t:none,   setvar:tx.paranoia_level=1"

采样

将核心规则集添加到现有生产站点可能会导致误报，意外性能问题以及其他不良副作用。首先通过仅为有限数量的请求启用CRS来测试水是有益的，然后在解决问题后增加信心，提高发送到规则集的请求的比率。通过以下设置调整汇集到核心规则中的请求百分比。

SecAction "id:900400, phase:1, pass, nolog, setvar:tx.sampling_percentage=25"

因此，只有四分之一的总流量将通过CRS。

允许的HTTP方法

目前，几乎所有的HTTP方法都允许如下。

SecAction  "id:900200,  phase:1,  nolog,  pass, t:none, setvar:'tx.allowed_methods=GET HEAD POST OPTIONS PUT PATCH DELETE  CHECKOUT COPY DELETE LOCK MERGE MKACTIVITY MKCOL MOVE PROPFIND PROPPATCH PUT UNLOCK'"

Protocol version

 

允许的HTTP版本是HTTP / 1.0 HTTP / 1.1 HTTP / 2 HTTP / 2.0

SecAction  "id:900230,  phase:1,  nolog,  pass,  t:none,  setvar:'tx.allowed_http_versions=HTTP/1.0 HTTP/1.1 HTTP/2 HTTP/2.0'"

禁止的文件扩展名

为了防止意外暴露开发/配置文件，以限制访问以下扩展。

SecAction "id:900240, phase:1, nolog, pass, t:none, setvar:'tx.restricted_extensions=.asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ .cfg/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .lnk/ .log/ .mdb/ .old/ .pass/ .pdb/ .pol/ .printer/ .pwd/ .resources/ .resx/ .sql/ .sys/ .vb/ .vbs/ .vbproj/ .vsdisco/ .webinfo/ .xsd/ .xsx/'"

文件系统配置

需要ModSecurity来存储本地文件系统下的临时文件和一些持久数据。使用以下指令将当前设置设置为/ tmp。但是，/ tmp不太理想，建议指定私有的位置。

SecTmpDir /tmp/

SecDataDir /tmp/

如何分析ModSecurity日志文件

以下是ModSecurity使用CRS检测到任何威胁时生成的一些日志样本：

[himmagapp.novell.com/sid#562e6c2e9140][rid#7fae48014ef0][/bajesh/HIMDEEP/modsec/aaa.html][2] Warning. detected XSS using libinjection. [file "/etc/opt/novell/apache2/conf/crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "64"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: via found within ARGS_NAMES:<SCRIPT>alert(\x5cxe2\x5cx80\x5cx9cCookie\x5cxe2\x5cx80\x5cx9d document.cookie)</SCRIPT>: <SCRIPT>alert(\x22Cookie\x22 document.cookie)</SCRIPT>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "Default-Action2-ModSec"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"]



[himmagapp.novell.com/sid#562e6c2e9140][rid#7fae48014ef0][/bajesh/HIMDEEP/modsec/aaa.html][2] Warning. Matched phrase "document.cookie" at ARGS_NAMES:<SCRIPT>alert(\xe2\x80\x9cCookie\xe2\x80\x9d document.cookie)</SCRIPT>. [file "/etc/opt/novell/apache2/conf/crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "303"] [id "941180"] [rev "2"] [msg "Node-Validator Blacklist Keywords"] [data "Matched Data: document.cookie found within ARGS_NAMES:<SCRIPT>alert(\x5cxe2\x5cx80\x5cx9cCookie\x5cxe2\x5cx80\x5cx9d document.cookie)</SCRIPT>: <script>alert(\x22cookie\x22 document.cookie)</script>"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "8"] [tag "Default-Action2-ModSec"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"]



[himmagapp.novell.com/sid#562e6c2e9140][rid#7fae48014ef0][/bajesh/HIMDEEP/modsec/aaa.html][2] Warning. Matched phrase "bin/bash" at ARGS:exec. [file "/etc/opt/novell/apache2/conf/crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf"] [line "448"] [id "932160"] [rev "1"] [msg "Remote Command Execution: Unix Shell Code Found"] [data "Matched Data: bin/bash found within ARGS:exec: /bin/bash"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "8"] [tag "Default-Action2-ModSec"] [tag "application-multi"] [tag "language-shell"] [tag "platform-unix"] [tag "attack-rce"] [tag "OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION"] [tag "WASCTC/WASC-31"] [tag "OWASP_TOP_10/A1"] [tag "PCI/6.5.2"]



[himmagapp.novell.com/sid#562e6c2e9140][rid#7fae4401f9c0][/bajesh/HIMDEEP/modsec/aaa.html][1] Access denied with code 400 (phase 2). Operator GE matched 5 at TX:anomaly_score. [file "/etc/opt/novell/apache2/conf/crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "57"] [id "949110"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [severity "CRITICAL"] [tag "Default-Action2-ModSec"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic”]



[himmagapp.novell.com/sid#562e6c2e9140][rid#7fae48004980][/bajesh/HIMDEEP/modsec/testpost.php][2] Warning. detected SQLi using libinjection with fingerprint 's&sos' [file "/etc/opt/novell/apache2/conf/crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "68"] [id "942100"] [rev "1"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: s&sos found within ARGS:username: 1' or '1' = '1"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "8"] [tag "Default-Action2-ModSec"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]

如上所示，当ModSecurity使用CRS检测到任何威胁时，具有各种信息的消息将附加到SecDebugLog指令设置的日志文件中。

分析这些日志并搜索特定字符串可以让管理员了解服务器所经历的各种攻击和严重性级别。作为第一步，以下是可在调试日志文件中查找的字符串列表：

• URL编码滥用攻击尝试
• 空主机头
• 通过有效负载的HTTP标头注入攻击（检测到CR / LF）
• 远程命令执行：Windows命令注入
• 请求丢失主机标头
• XSS过滤器 - 类别4：Javascript URI向量
• 寻找基本的sql注入。 mysql，oracle等的常见攻击字符串。
• 策略不允许请求内容类型
• PHP注入攻击：找到高风险的PHP函数名称
• 远程命令执行：Windows命令注入
• 策略不允许使用方法
• 无效的HTTP请求行
• 通过libinjection检测到SQL注入攻击
• 策略不允许HTTP协议版本
• 远程命令执行：Unix命令注入
• NoScript XSS InjectionChecker：属性注入
• IE XSS过滤器 - 检测到攻击。
• 带有正文内容的GET或HEAD请求。
• 远程命令执行：直接Unix命令执行
• PHP注入攻击：找到变量
• PHP注入攻击：发现高风险的PHP函数调用
• 节点验证器黑名单关键字
• 请求中的字符无效（空字符）
• 远程命令执行：找到Unix Shell代码
• 可能的远程文件包含（RFI）攻击：常见的RFI易受攻击的参数名称
• 路径遍历攻击（/../）
• URL文件扩展名受策略限制
• 操作系统文件访问尝试
• XSS过滤器 - 类别1：脚本标记向量
• 通过libinjection检测到XSS攻击
• NoScript XSS InjectionChecker：HTML注入
• 路径遍历攻击（/../）
• 可能的远程文件包含（RFI）攻击：使用带有尾随问题的URL有效负载...
• 找到与安全扫描器关联的请求文件名/参数

性能影响

启用ModSecurity肯定会对Access Gateway的以下区域产生影响：

• CPU使用率
• 内存使用情况
• 响应时间

管理员可以使用上面提到的可用指令和设置（采样，异常阈值scor，e等），并评估ModSecurity对Access Gateway性能的影响。主要影响是内存使用情况，因此建议增加RAM的大小。由于CRS有大约200条规则，如果可用内存不足，Access Gateway可以成功处理的同时连接数将减少。对CPU的影响介于（1％ -  5％）之间。

下一步是什么

 

• 绩效基准
• 启用对个别攻击的检测。对于例如XSS，SQLi，Brute-Force等
• Geo-IP黑名单，HTTP指纹识别，
• 处理误报。
• 还有很多...

 

References

• ModSecurity 2.5 by Magnus Mischel




• ModSecurity Handbook by Feistyduck.com




• https://coreruleset.org/




• https://github.com/SpiderLabs/ModSecurity/wiki




• https://www.netnea.com

 

原文：https://community.microfocus.com/t5/Access-Manager-Tips-Information/Power-up-Access-Gateway-with-ModSecurity-and-Core-Rule-Set/ta-p/1771746

本文：http://pub.intelligentx.net/power-access-gateway-modsecurity-and-core-rule-set

讨论：请加入知识星球或者小红圈【首席架构师圈】

介绍

本文件旨在通过应用网络分割和隔离策略，协助负责组织网络架构和设计的员工提高其网络的安全态势。

网络分割和隔离是一个组织可以实施的有效策略，以限制网络入侵的影响。如果实施得当，这些策略会使对手很难定位和获取组织最敏感的信息；并增加及时发现对手活动的可能性。

历史上，网络分割和隔离是通过一个组织的internet（或组织间）网关上的外围防火墙来实现的；或者是围绕一个非军事区的一对防火墙来实现的，该非军事区在完全受信任和不受信任的区域之间提供一个隔离的环境。然而，简单地将整个网络分区为“受信任的”并将其视为“平坦的”（即整个网络作为单个网段）会创建一个环境，该环境只需要一次网络入侵，对手就可以获得广泛的访问。平坦的网络还允许对手在主机和服务之间进行旋转，而障碍最小，检测的机会有限。

随着敌方tradecraft直接使用spear网络钓鱼和社会工程等技术瞄准内部网络，以及移动和远程工作的日益使用，这些常见的平面网络架构无法保护组织免受当代网络威胁。因此，组织必须对网络进行细分，将敏感信息、主机和服务与用户访问外部资源的环境隔离开来，特别是网络、电子邮件和其他互联网服务。

什么是网络分割和隔离？

网络分割涉及到将网络分割成更小的网络；而网络分割涉及到开发和实施用于控制特定主机和服务之间通信的规则集。

在实施网络分割和隔离时，目标是限制对敏感信息、主机和服务的访问级别，同时确保一个组织能够继续有效运作。网络分割和隔离措施要想行之有效，就必须周密规划，有力执行，严密监控，不能绕开。

使用许多技术和技术可以实现网络分割和隔离，包括：

• 在具有不同安全要求（安全域）的网络之间实施非军事化区域和网关，使用不同层的技术，例如：
  • 路由器或第3层交换机，用于将大型网络划分为单独的较小网络，以使用访问控制列表等措施限制流量
  • 虚拟网络和路由协议，包括虚拟局域网和虚拟路由和转发以分段网络
  • 虚拟机、容器和虚拟功能，用于隔离不同信任或威胁级别的活动（例如访问internet或电子邮件，或执行特权管理任务）
  • 虚拟主机、虚拟交换、云租赁和托管安全组，以隔离和分段应用程序、数据和其他服务
  • 基于主机的安全和防火墙软件，用于在主机级别过滤网络流量
  • 过滤网络流量的网络防火墙和网络间的安全设备
  • 网络访问控制用于控制可以访问网络的设备
  • 应用程序和服务防火墙和代理（或服务代理），仅允许不同网络中的应用程序和服务之间的批准通信
  • 用户和服务身份验证和授权，包括多因素身份验证和基于策略的访问控制，以强制最小权限
  • 用于增强网络间数据流方向性的数据二极管和单向传输设备
  • 内容过滤技术包括递归分解、验证、验证和消毒，以全面确保网络和应用程序流量。
• 使用Internet协议安全性（IPsec）实现服务器和域隔离。
• 使用磁盘和卷加密以及逻辑单元号屏蔽等技术实现基于存储的分段和筛选。
• 对于极其敏感的网络连接，实施跨域解决方案或澳大利亚信号局澳大利亚网络安全中心（ACSC）推荐的其他技术。

要取得成功，这些技术和技术的实现必须由基于实现组织业务和安全需求的网络架构驱动。至关重要的是，网络、系统和安全架构师与业务分析师和客户合作，以确保采用准确和考虑周全的策略。

为什么网络分割和隔离很重要？

一旦对手破坏了网络，通常是通过社会工程手段，通过合法用户控制下的主机的破坏，他们将试图在网络中移动，以定位和访问敏感信息、主机和服务。为了最大限度地减少这种网络入侵的影响，敌方应尽可能难以找到和访问此类信息，在网络周围移动而不被发现，并从网络中删除信息。

敌方可尝试使用其掌握的工具和技术，直接从受损主机连接到更敏感的主机。例如，如果一个敌方最初已经破坏了一个工作站，他们可能会试图创建到服务器的远程连接、映射网络资源或使用合法的网络管理工具来访问敏感信息或在该服务器上执行恶意代码。当对手以组织的身份验证服务器为目标时，这种情况尤其常见。合理规划和实施网络分割和隔离是防止此类活动发生的关键安全措施。示例缓解措施包括明确禁止远程桌面连接或从用户工作站使用通用网络管理工具（因为大多数用户不需要此类功能）、配置服务器以限制文件共享，以及限制服务器通过远程连接进行通信的能力。

网络分割和隔离也有助于安全人员履行其职责。实施这些措施的组织应考虑候选技术的审计和警报功能，因为这些功能可能对识别网络入侵和确保及时的事件响应活动至关重要。一个成熟的分段和隔离环境也将使组织能够更好地将其审计和警报策略集中在由批准的网络访问方法通知的攻击向量的优先子集上。此外，它还可以提供一种在网络入侵后及时隔离受损主机或网络的方法。

如何实现网络分割和隔离？

无论选择何种网络分割和隔离技术，最佳实践实施都有五个共同主题：

• 不仅仅在网络层应用技术。在可能的情况下，应在实际可管理的最低级别对每个主机和网络进行分段和隔离。在大多数情况下，这适用于从数据链路层到应用层（包括应用层）；但是，在特别敏感的环境中，物理隔离可能是适当的。应以互补的方式部署基于主机和全网络的措施，并对其进行集中监测。仅仅实现防火墙或安全设备作为唯一的安全措施是不够的。
• 使用最少特权和需要知道的原则。如果一个主机、服务或网络不需要与另一个主机、服务或网络通信，则不应允许这样做。如果一个主机、服务或网络只需要在特定端口或协议上与另一个主机、服务或网络进行对话，而不需要其他任何东西，则应仅限于此。在网络中采用这些原则将补充用户权限的最小化，并显著提高环境的总体安全态势。
• 根据主机和网络对业务操作的敏感度或关键程度将它们分开。这可能包括根据特定主机或网络的不同安全分类、安全域或可用性/完整性要求使用不同的硬件或平台。特别是，分离管理网络，并考虑物理隔离敏感环境的带外管理网络。
• 识别、认证并授权所有实体访问所有其他实体。所有用户、主机和服务对所有其他用户、主机和服务的访问权限应仅限于执行其指定职责或功能所需的用户、主机和服务。应尽可能禁用绕过或降低标识、身份验证和授权服务强度的所有传统或本地服务，并密切监测其使用情况。
• 实现已批准的网络流量列表，而不是未批准的网络流量列表。只允许访问已知的良好网络流量（即已识别、验证和授权的流量），而不阻止访问已知的不良网络流量（如阻止特定地址或服务）。这不仅将导致一个优越的安全政策，它还将大大提高一个组织的能力，以检测和评估潜在的网络入侵。

在实现网络分割和隔离时，应考虑以下类型的流量过滤技术。如上所述，如果使用专门允许业务而不是专门阻塞业务的方法来实现，则这些过滤技术将显著地更加有效：

• 网络流量的逻辑访问限制，例如：
  • 基于Internet协议和路由信息限制哪些主机能够与其他主机通信的网络层筛选
  • 基于状态的筛选，根据主机的预期功能或当前操作状态限制哪些主机能够与其他主机通信
  • 端口和/或协议级筛选，用于限制每个主机可用于与其他主机通信的服务的数量和类型。
• 基于强身份验证限制对主机、服务和网络的访问的身份验证筛选，通常使用公钥密码（如基于证书的IPsec）实现。
• 应用程序过滤，用于过滤应用程序层主机和网络之间通信的内容，通常使用电子邮件和web内容过滤、入侵预防系统以及web应用程序或XML防火墙来实现。
• 对于特别敏感的环境，也可以在网络之间实现物理隔离。如果物理隔离网络之间需要有限的交互，则可能需要以下一个或多个：
  • 定制或定制的安全设备
  • 高保证产品，或
  • 跨域解决方案。

与任何安全策略一样，当组织的网络发生重大变化时，必须对网络分割和隔离实施进行调整。此外，环境变化，如新的业务职能和不断演变的网络威胁，将需要审查一个组织的安全态势和网络架构，以确保应用适当的缓解策略。

网络分割和隔离的示例实现

分割网络以保护关键主机

在这种情况下，一个组织决定对其网络进行分段，以保护关键主机免受网络入侵。为此，他们采取了下列安全措施：

• 编制关键主机清单，记录其敏感度以及与此类主机的任何必要通信
• 计划在一个时间表中引入安全措施，该时间表可通过分配资源来实现，确保在部署前进行足够的测试
• 与关键主机的逻辑网络连接仅限于那些必需的端口和协议
• 只允许从更受信任的区域建立连接到不受信任的区域，反之亦然（对应用程序接口的必要用户访问除外）
• 批准特定的应用程序层内容，以便仅允许该内容在不同的信任区域之间流动
• 实现了多因素身份验证，此外，如果用户和服务的功能比共享同一主机或网络的其他用户或服务更敏感，则为用户和服务使用单独的凭据集
• 最大限度地减少了相同和不同信任区域中主机之间隐式信任关系的使用（实现了跨不同信任区域定义的信任关系，以便信任关系的每一方都对另一方进行身份验证和授权）
• 为与外部组织和internet的连接实施web、电子邮件和文件内容筛选，以检测和清除潜在的恶意内容
• 应用入侵防御和基于主机的防病毒技术检测和隔离识别出的恶意内容
• 实施集中的日志记录、警报、监控和审计功能，由专门的安全操作团队负责。

上面的列表并不是一套详尽的安全措施；但是，它是一个现实的概述，表明必须在所有层考虑网络分割和隔离才能有效。实现安全的网络体系结构从来没有像实现具有限制性访问控制列表的网关防火墙那样简单。

将高风险应用程序与网络隔离

在这种情况下，一个组织发现，他们的网络中大部分都包含敏感信息，分割网络或将所有这些信息分离并不划算。相反，该组织选择将高风险应用程序（即web浏览器、电子邮件客户端和内容管理系统）与网络其他部分隔离开来。在此过程中，他们实施了以下安全措施，以维持业务需求，同时降低网络入侵成功的风险：

• 需要internet访问的用户在其公司工作站上启动远程桌面应用程序以访问虚拟桌面，并使用仅用于此目的的用户帐户进行身份验证。此虚拟桌面是由托管在不同身份验证域中的不同网段中的专用服务器提供服务的。这种专用的远程桌面允许用户进行高风险的活动，例如浏览网页和阅读电子邮件，同时将单个受损应用程序的效用限制在对手身上。
• 需要访问高风险应用程序的用户启动了一个本地虚拟化应用程序，以运行一个加固的虚拟主机，该主机连接到一个不太可信的远程环境，该环境由一个分层的安全网关保护，该网关将高风险应用程序和组织的企业网络。

示例实现摘要

这两种方法的主要优点是，用户没有直接在其公司工作站上存储或处理潜在的恶意数据，也没有使用公司服务器来执行敏感和关键业务功能。每个用户的交互都是与远程桌面或应用程序进行的，如果需要的话，可以通过一个足够结构化和有限的功能将输出发送回用户，从而防止恶意代码在整个公司网络中执行或传播。

重要的是要记住，在实施安全措施时，组织将承担资源成本，以确保适当维护附加系统。与其他技术资产一样，这些安全措施应得到管理和监控，发布后应尽快应用安全修补程序。

最后，建议所有的web浏览环境都应该是非持久的、严格强化的，并接受定期的技术安全评估。因此，如果web浏览环境确实受到恶意代码的危害，则当用户完成其web浏览会话时，该感染会迅速消除。

 

原文：https://www.cyber.gov.au/publications/implementing-network-segmentation-and-segregation

本文：http://jiagoushi.pro/node/1042

讨论：请加入知识星球【首席架构师圈】或者小号【intelligenttimes】

从云和数据中心到AWS的一致多层安全性。

适用于亚马逊网络服务的Fortinet解决方案（AWS）

越来越多的企业转向AWS扩展内部数据中心，并利用公共云的弹性。 虽然AWS可以保护基础架构，但您有责任保护您放入其中的所有内容。 Fortinet虚拟设备为您的AWS工作负载提供全面的安全性，包括防火墙，安全网关，入侵防护和Web应用程序安全性。

在AWS上使用Fortinet为您提供与业界领先的硬件设备以及这些功能相同的强大安全控制。

特点和优点：

 

• 减少现金：灵活的计费集成：自带许可证（BYOL）或基于实用程序的计量
• 中心管理：跨数据中心和公共云部署的集中管理
• 云准备好了：将AWS自动扩展组集成到云编队模板中，实现高级安全自动化
• 自动化：使用AWS Transit VPC集线器简化网络安全管理，节省时间和成本

AWS的Fortinet用例

可见性和控制

• 云基础设施可见性和控制
• 云中的合规性
• 基于云的安全管理和分析

应用安全

• Web应用程序安全
• 逻辑（基于意图的）分段
• 集装箱安全
• 云负载保护

安全连接

• 安全混合云
• 云安全服务中心
• 安全的远程访问

FortiGate企业套装

我们的企业（ENT）捆绑包现在包括：

 

• CASB  - 为基于云的服务提供可见性，合规性，数据安全性和威胁防护。
• 工业安全服务保护 -  SCADA（监督控制和数据采集）和ICS（工业控制系统）。这些签名可以解决针对关键基础设施和制造业的攻击，我们正在看到频繁和复杂的网络攻击。
• 安全评级服务 - 此服务对启用结构的网络执行检查，并为您的运营团队提供评分和建议。随后的记分卡可用于衡量对各种内部和外部组织政策，标准和法规要求的遵守情况，包括提供贵公司与行业同行的排名。

FortiGuard Enterprise（ENT）保护包旨在解决当今的高级威胁形势。 Enterprise Bundle整合了保护和防御从端点到云的所有网络攻击通道所需的全面保护。包括解决当今具有挑战性的OT，合规性和管理问题所需的技术。 Enterprise Bundle提供最全面的保护。企业捆绑包括：

• NGFW应用控制
• IPS
• 杀毒软件
• 僵尸网络
• IP /域名声誉
• 移动安全
• 网页过滤
• 反垃圾邮件
• FortiSandbox Cloud
• 病毒爆发保护
• 内容撤防与重建
• CASB
• 安全评级
• 工业安全服务
• FortiCare

FortiGate UTM Bundle

FortiGuard统一保护捆绑包（UTM）是我们传统的统一威胁管理安全捆绑包。 Unified Protection Bundle在整个数字攻击面上扩展了威胁防护，提供业界领先的防御复杂攻击的防御。 UTM捆绑包可让您了解基于Web和电子邮件的攻击。 UTM捆绑包提供了可用于统一威胁防护产品的最佳软件包。 UTM Bundle包括：

• NGFW应用控制
• IPS
• 杀毒软件
• 僵尸网络
• IP /域名声誉
• 移动安全
• 网页过滤
• 反垃圾邮件
• FortiSandbox Cloud
• 病毒爆发保护
• 内容撤防与重建
• FortiCare

FortiGuard优势：

• FortiGuard每小时处理超过6900万个网站，提供最新的声誉和分类。
• 通过顶级Web过滤防止恶意下载和浏览器劫持攻击（VBWeb已验证）
• 通过第三方独立测试（VBSpam + Verified）验证的卓越垃圾邮件防护提高了电子邮件生产力

FortiGate高级威胁防护套装

FortiGuard高级威胁防护（ATP）软件包提供了保护和防御已知和未知网络威胁所需的基础安全性。 高级威胁防护包包括：

• NGFW应用控制
• IPS
• 杀毒软件
• 僵尸网络
• IP /域名声誉
• 移动安全
• FortiSandbox Cloud
• 病毒爆发保护
• 内容撤防与重建
• FortiCare 24 * 7

 

讨论：请加入知识星球或者小红圈【首席架构师圈】