|
醉卧沙场君莫笑
上星期某公司的工程师打来电话请我在论坛上发帖和大家分享经验,因为年底事忙耽搁了,十分抱歉。今天看了看大家的帖子,感觉获益良多。回顾自己这些年的工作经历,十分感慨,也想将自己的感受写出来与大家共享,如果有错误的地方请大家为我指正。
我在信息中心的工作时间超过了十年,也算是老员工了。最初单位的外网环境和其他厅局差不多,结构简单,边界是某公司的防火墙。工作的重心也不是外网网站的安全,而是专网的建设、升级、使用和维护。第一次接触某公司的设备是行为管理,我把它部署在了某公司防火墙和核心交换之间,用来对内部的监控。说实话我对它不是很重视,直到我经历了一次安全事件。
那是五年前的一个早晨,我上班后例行把设备都巡视了一遍,最后登录到行为管理设备上,简单看了看,刚想关闭界面,突然发现外网有一台服务器流量激增,但那也只是一瞬间就从流量排行中消失了,当时的第一反应,有问题。拿起钥匙就往机房跑,进去后直接就把这台服务器的网线拔了,同时打电话把这台服务器的管理员叫来,让他检查服务器,没到两分钟他就从机房出来了,苦着脸跟我说连开机密码都被更改了。后续的处理办法就不再赘述了,大家也能想到。现在回想起来还有些后怕,如果当时我没登录到行为管理上....,如果我当时没有及时做出反应....。虽然我把这件事压在了技术层面,没影响到行政层面,但是痛彻的感觉到当时的网络结构和设备的性能都无法应对外界环境的变化和突发事件。
俗话说:变则生,不变则死。事件过后,我立即改变网络结构,抛弃没有用边界的设备。
第一、建立某公司两台防火墙和服务器软件防火墙组合而成的纵深防御系统,一台放置在出口,一台隐藏在DMZ区域,即使黑客突破第一道防火墙,依然有第二道防火墙拦截,就算能连破我两道墙还有第三道墙等着他,大大提升了黑客的攻击难度。
第二、采用防火墙的联动封锁功能,黑客只要有一个攻击行为,就会触发联动封锁,时间设置为半小时,在这半小时中,黑客的所有访问都将被阻断,只能等到半个小时后才能继续访问,但是只要他再有攻击行为,又会立即触发安全机制,再次被封锁,这种联动封锁,不仅是从技术层面对抗黑客的攻击,更大程度上是心理层面上的打击,让攻击者陷入无尽的等待,消磨黑客的耐心,使对方知难而退。(这种方法是受了盗墓笔记中悬魂梯的启发)。采用这两种办法后,局面果然大有改观。顺利通过了2013年12月公安局网监部门的攻击测试,在2014年某公司的检查中,山西省10个被检查的厅局中有9个都曝出漏洞,需要整改,只有煤炭厅顺利通过了检查。
但是在使用中也发现了一些问题,防火墙数据中心的报表系统设置过于庞杂,有大量的无用数据,而我真正需要的又查询不到,在联动封锁时间的设置上缺乏灵活性,在栏目的设置上过于复杂。虽然林林总总问题不少,但一线工程师的服务还是很到位的,遇到复杂的问题我可以和总部的研发部门直接沟通,值得肯定。总的来说,某公司的设备和服务还是让人满意的。
在现实生活中,每个单位或企业的情况不同,实际应用也不尽相同,适合我的未必适合其他人,就如我的纵深防御系统是牺牲了部分的网络性能换来的,当然这也和经费缺乏有莫大的关系,关键换来的
是否值得,对我来说安全是第一位的。
说了这么多只想借这个平台和大家交流心得来提高自己的能力,同时希望能对朋友们有所帮助。最后真心的祝福某公司能越走越远,成为国际性的大厂商,成为中国骄傲的大厂商!
(在这里需要声明:本帖非广告,有感而发)
| 
发表于 2016-1-28 15:23
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
倪工出品,必属精品!!! 楼主的文章实在是写得太好了。文笔流畅,修辞得体,深得魏晋诸朝遗风,更将唐风宋骨发扬得入木三分,能在有生之年看见楼主的这个帖子。实在是我三生之幸啊