在絕大多數(shù)人看來,，網(wǎng)絡(luò)安全似乎是一個較為深奧的話題，如何規(guī)劃組織的安全建設(shè),、制定安全策略,、洞悉安全問題，都給IT管理者的工作增加幾分難度,。

　　很多用戶都會思考,，為什么已經(jīng)部署了安全設(shè)備，當(dāng)面對黑客發(fā)出攻擊時,，卻仍然束手無策呢,？讓我們通過下面的案例來向您展示原因到底是什么。

　　部署了安全設(shè)備為什么還受攻擊,？

　　某單位信息中心的副主任是由其他部門調(diào)職過來,，主管信息化建設(shè)方面的工作。任職不久便遇到一件非常棘手的事情,，單位的網(wǎng)絡(luò)被攻擊癱瘓,，導(dǎo)致內(nèi)部辦公人員無法上網(wǎng)，同時對外網(wǎng)站在公網(wǎng)用戶訪問時也時斷時續(xù),。為了能夠盡早解決問題,，該副主任率隊進(jìn)行了徹夜的排查。

　　傳統(tǒng)防火墻形同虛設(shè)

　　首先對主要的安全設(shè)備-傳統(tǒng)防火墻進(jìn)行了排查,，翻閱十幾頁日志后發(fā)現(xiàn)大部分都是對端口通信的記錄,，很難從中發(fā)現(xiàn)什么問題。為什么有了防火墻,，還是會受到攻擊呢,？

　　IPS似乎沒有配置任何策略

　　防火墻作為訪問控制設(shè)備，沒有發(fā)現(xiàn)攻擊還可以理解,。接下來,，副主任率隊又對同期采購的入侵防御系統(tǒng)（IPS）進(jìn)行了詳細(xì)的日志分析。令人意想不到的是,，入侵防御居然也沒有發(fā)現(xiàn)什么問題,。經(jīng)過排查，最終發(fā)現(xiàn)根本原因是對于剛購買的入侵防御系統(tǒng),，工程師沒有配置正確的策略,。比如，添加了IIS系統(tǒng)漏洞的防護(hù),，可是對外的服務(wù)器中根本就沒有使用IIS,。通常情況下,，不熟悉業(yè)務(wù)的IT管理員無法根據(jù)業(yè)務(wù)情況來選擇適合的策略，所以大多數(shù)選擇了策略全開,，但這必然會導(dǎo)致效率下降,。

　　網(wǎng)絡(luò)安全其實沒有那么復(fù)雜

　　遇到這種問題，大部分用戶會思考,，每年網(wǎng)絡(luò)安全建設(shè)的投入到底有沒有價值,、為什么還會有攻擊。其實,，網(wǎng)絡(luò)安全管理并沒有想象得那么復(fù)雜,。

　　該用戶之前已經(jīng)采購過我們的上網(wǎng)行為管理和SSL VPN產(chǎn)品，偶然地了解到深信服的下一代防火墻產(chǎn)品（NGAF）防護(hù)效果較為明顯,，于是決定通過測試先看一下效果。

　　了解自身業(yè)務(wù)部署的對應(yīng)策略

　　針對用戶在此次事件中的遭遇進(jìn)行分析,，我們認(rèn)為用戶需要更簡單,、容易操控的安全防護(hù)策略，依據(jù)自身業(yè)務(wù)系統(tǒng)及應(yīng)用的情況進(jìn)行有針對性的策略配置,。但事實上,，很多IT管理員并不會耗費過多精力去了解業(yè)務(wù)部署。在此,，我們建議用戶使用下一代防火墻的“一鍵部署”功能,。

　　通過主動對網(wǎng)絡(luò)狀況進(jìn)行安全評估，生成策略和報表,，再通過“一鍵部署”功能,，自動生成針對性的安全策略，這樣便可避免管理員由于不熟悉業(yè)務(wù)而導(dǎo)致的安全策略錯配,、漏配問題,。

　　通過對服務(wù)器、Web系統(tǒng)進(jìn)行漏洞掃描,，可以自動生成針對性的策略,，簡化了用戶的運維。

　　了解網(wǎng)絡(luò)中的流量,實時掌控安全狀況

　　借助下一代防火墻,，IT管理員可以清晰看到經(jīng)過防火墻的流量都有哪些,、哪些吞噬了較大的帶寬，以此為依據(jù)來決定禁用哪些高帶寬消耗或可能帶來威脅的應(yīng)用,。

　　通過整體分析來找尋攻擊的蛛絲馬跡

　　各類攻擊間往往有必然聯(lián)系,，如小偷入室盜竊一般，也必然要經(jīng)過踩點,、試探,、入室盜竊,。黑客發(fā)起攻擊也大抵如此，首先踩點,、然后進(jìn)行漏洞掃描分析,、再進(jìn)行提權(quán)以及攻擊破壞、最后走之前還要留下后門,。所以只有通過完整的分析,，才可以真正了解攻擊本身。

　　從整體威脅中找到受攻擊的目標(biāo),，再進(jìn)行分析來探究攻擊者的目的,。如下圖所示，這臺服務(wù)器遭受了大約42.7%的攻擊,，主要是SQL注入和DoS攻擊,。

　　智能聯(lián)動讓您高枕無憂

　　在幫助用戶分析和測試的過程中，我們也使用到了下一代防火墻的智能聯(lián)動功能,。通過防火墻與IPS,、WAF的模塊間智能聯(lián)動，可以自動生成臨時的控制策略,。大幅提高了黑客的攻擊成本,，是針對APT攻擊的有效防御手段之一。

　　綜上所述,，網(wǎng)絡(luò)安全并沒有這么復(fù)雜,，恐懼心理往往來源于對未知事物的不確定，例如：不了解業(yè)務(wù)及風(fēng)險不知道如何制定策略,、發(fā)現(xiàn)攻擊無法對其進(jìn)行鑒別等,。通過下一代防火墻的體驗，用戶可以主動評估網(wǎng)絡(luò)及系統(tǒng)的風(fēng)險,，一鍵生成針對性的策略,、簡化運維?？梢詮腖2-7層宏觀的角度分析黑客的攻擊行為,，通過智能防御手段自動生成策略，提高黑客攻擊成本,。