DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

香港高防服务器_cc防御盾_打不死

05-02 WEB安全

香港高防服务器_cc防御盾_打不死

想想您的组织每年在防火墙硬件、软件许可证和管理方面的开支。现在想想看,所有的钱都被冲走了,因为一条执行不力的规则绕过了所有其他基于防火墙的保护。听起来有点吓人,但如果你是防火墙管理员,你知道这种可能性有多大。在上一篇文章中,完全防御ddos,我们讨论了"影子规则",以及为什么投资自动化工具来帮助消除这些规则可以是一项可靠的业务,更不用说安全投资了。但是,消除冗余、过时和无效的规则只是问题的一部分。对于许多防火墙管理员来说,更大的挑战是在不引入漏洞或暴露点的情况下处理对防火墙规则更改的日常请求。防火墙不是静态的哨兵,只需设置一次就可以运行多年。大多数防火墙都有一套灵活的规则,并且经常更新以支持新的业务服务。虽然改变没有什么本质上的错误,但是这种改变是如何发生的会产生重大的安全影响。当一个管理员在正常的变更管理生命周期之外,在没有适当的风险分析的情况下进行变更时,问题就会发生。考虑一个业务部门所有者,他急于在防火墙上打开几个端口,以便外部软件开发公司可以在公司服务器上设置和测试他们的应用程序。企业所有者可能不知道这些端口需要打开的技术原因,也不知道允许流量通过新打开的端口所带来的风险,他只知道开发商说要打开这些端口。因为所有者不了解与更改相关的潜在风险,所以他认为防火墙规则只不过是让应用程序运行起来的一个烦人和不必要的障碍。缺乏对防火墙工作原理的了解可能会导致对规则进行风险更改的请求。例如,ddos流量防御,有时应用程序或业务所有者不知道应该为哪些端口打开,或者应该为哪些服务或服务器打开,所以他们要求使用允许所有流量(无论是好的还是坏的)通过的过于宽松的规则。出于测试目的,一些许可请求允许在短时间内到期,并且应该在测试窗口之后过期。不幸的是,在多个防火墙和路由器上设置和管理规则过期日期并非易事。因此,在测试期结束后很长一段时间内,允许性规则应该提前几周或几个月到期,但仍然有效。如果业务单元所有者在一个具有健全的变更管理生命周期的组织中工作,他将需要提交变更请求并遵循某些程序来批准和实施变更。典型的变更管理流程包括为变更请求撰写业务理由、对变更直接或间接影响的技术评估以及风险权衡分析。例如,在此过程中可能会回答的一些问题包括:变更是否会导致公司违反法律或行业规定?变更是否会使组织中的其他系统面临安全或业务连续性风险?是否可以使用替代解决方案来满足业务需求?遵循一个设置好的过程,如上面所述的过程,可以让防火墙管理员有时间参与该过程并在接受更改之前执行风险分析。不幸的是,这个过程有两个非常常见的错误:1)管理员没有被纳入风险评估阶段,cc攻击防御配置,或者2)他们没有足够的时间来完成彻底的分析。最坏的情况是,为了提高速度,更改是在没有任何形式的正式过程的情况下批准的,防火墙管理员必须立即执行它们。可以说,管理员和风险分析师被排除在风险评估阶段之外的一个主要原因是,他们的分析耗时太长,或者他们的建议被视为对业务的限制太大。那么,防火墙管理员如何加快决策时间,更好地洞察与防火墙配置更改相关的公司风险,阿里ddos云防御,并重新进入评估阶段?首先,安全专业人员需要某种方法在实现之前对网络环境的潜在变化进行建模。这远远超出了防火墙,服务器防御ddos有几种,因为网络由多层系统和服务组成,但防火墙是第一道防线。任何时候提出变更,无论是新服务上线、对不同数据库平台的更改,还是允许与这些新服务进行通信的防火墙规则,都应完成风险评估。有工具来帮助进行这种建模可以加快过程,并可能捕捉到人类自己无法捕捉到的东西。这里的工具和技术包括网络拓扑和映射、渗透测试和扫描、日志分析以及IT-GRC解决方案的风险控制台,管理员可以使用一个工具来分析现有规则集与建议的更改的规则集,并识别潜在的暴露区域,或者如果任何新规则导致对现有规则的意外覆盖。将所有这些信息合并到一个报告中,有助于安全和防火墙专业人员更快、更准确地评估与建议的更改相关的风险。为了使这些信息更具价值,在将风险传达给高管之前,应将风险转化为对业务有利的术语。虽然"不建议打开端口1025,因为它不是IANA的官方指定用途,并且在过去与RPC vulns有关联",但对大多数人来说,"如果我们打开这个端口,外部攻击者可能会控制我们的服务器"这句话对我们所有人来说都很容易理解。另一种在不牺牲安全性的情况下加快风险评估过程的方法是了解随着时间的推移,变化如何影响系统。第一次请求打开1025这样的端口时,可能需要进行长时间的评估。但是,如果评估已经完成,当第二个(或第三个或第四个)请求打开该端口时,响应时间可以缩短,但可以重新使用以前评估的相关数据。通过对已知的和经过充分审查的请求进行记录以备将来参考,通过对现有知识的再利用而不是完全跳过知识收集步骤来实现效率和成本的降低。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/67476.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8944413访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X