首 页 论坛介绍 主论坛 分论坛 组织结构 议程安排 参会指南 嘉宾介绍 历史回顾 新闻中心
国务院新闻办公室
中华全国新闻工作者协会
人民网
新华网
中国网
中国日报网
国际在线
央视国际
中青网
中国经济网
中国广播网
千龙网
东方网
北方网
南方网
中国互联网新闻中心
(中国网)
中共江西省委宣传部
江西省人民政府
新闻办公室
中国移动通信集团公司
Sun 太阳计算机系统(中国)有限公司
华为3com技术有限公司
北京北大方正电子有限公司
华夏科技有限公司
北京蓝汛通信技术有限公司
北京敏讯技术有限公司
北京中科网威信息技术有限公司
王 卓:入侵防护及DDOS攻击防护在网络媒体的应用

大家下午好,我给大家介绍的这部分内容是跟网络攻击和网络防护相关的,今天论坛针对的对象是网络媒体,我想在座的各位对网络攻击有切身的体会,我举一个例子看一下网络攻击这几年来不同的变化。

最早的攻击是黑客为了满足自己的虚荣心,比如把国内知名的网站换掉了,在业界说是我做的,出于一种虚荣心,是证明自己的技术要比别人强。实际上从近几年来看,网络攻击出现了其他的变化,我给大家举个例子,我们跟台湾同事聊天的时候就讲,台湾赌博是合法的,在台湾有很多赌博的网站,在上面去赌马、赌狗这些东西,很多人给这类网站打电话,说必须给我们多少钱,否则到几点就把网站弄瘫痪掉,这是台湾的例子。国内应用一个近几年增长较快的点就是网络游戏,大家也有这种切身体会。游戏网站也会受到一些攻击,接到电话说不怎么样就会受到网络攻击。现在不是单个黑客,是网络黑帮的组织,有人提出网络也需要反恐,所谓反恐就是反攻击。从攻击的角度来看,从Radware角度来看,我们把攻击分为两大类,在国内出现比较多,一个是入侵的防护,一个是DDOS的攻击。

从网络安全领域来看,要细分层次,有些安全是数据层面,通过加密和认证等等,有些安全是系统层面,有些安全是应用层面的,我们今天谈的是网络层面的安全,体现在网络这块。为什么网络安全有自己的特点呢?一旦做好了网络安全防护的话,是和后台主机无关的,在主机上要做相应的控制,我们谈的是网络安全。

我们再看一下网络安全,你从市面上采用的技术也好,或者产品也好,你能用到的是什么?这张图是比较典型的图,前面有一个防火墙或者VPN,很多人都是这样建网的,我需要安全,投一些钱买一个防火墙,过一段时间不行,加一个IDS,后来发现网络的流量是通过邮件过来的,针对邮件的流量做一些网关的控制,这是近几年做网络构建的一个常用思路。这种思路我个人认为,我们的这种思路还停留在产品层面,一个一个盒子上面,没有从系统角度对网络层面进行深入考虑,直接带来的后果是什么呢?每一个产品和每一个技术都有弱点和缺点,我们来看一下。

首先看一下防火墙。我谈的不是某一个厂家的,而是针对防火墙。防火墙的状态像一堵墙一样,后面开什么应用,前面开一个什么样的端口。举个例子,比如我们就是网站,我就开一个80端口,你关掉其他的没有用,只要80端口开着的,只做防火墙的话,这个网络绝对是不安全的。

再来看大家经常在网络利用的一个技术是IDS,IDS和防火墙是不同领域的,IDS在七层领域对数据做深入分析,不但知道过来访问的是哪一个端口,而且知道在这个端口发了什么数据包,一个技术过来了,通过流量做转向,IDS可以对这个包进行分析,发现这个包是攻击的流量,怎么办?由于IDS会通知系统管理员,系统管理员再采取措施,病毒也好,网络数据传播也好,不会停留在那等你,一定会进去。我们开玩笑地说IDS有点像验尸官,看是怎样死的,不具有效率。

我们考虑一下网络安全的层面,网络安全的层面需要做防护的,有三层,微软也有一个很好的防护概念,把内部系统分为逻辑的分类,三层是什么呢?可以做路由层面的控制,控制A到B可以访问还是不可以访问。防火墙做的是什么呢?再深入一步,A和B可以访问,而且可以访问什么端口,这是防火墙做的事情。在原来网络缺一个层面,就是七这个层面,一个网站,就开了80端口,足够安全吗?不一定,必须对80进出的数据包做分析,这一层靠防火墙的技术实践起来比较有困难,我们叫第七层。

什么叫内容层,内容层和第七层有什么区别?就是我刚才讲的做邮件过滤,一封非常大的邮件,我可能带10兆或者5兆的邮件,必须收下来,然后做处理。在网络层面,不可能说把5兆的邮件收下来再做处理,这是不可能的,必须单独做处理,不可能所有的都在Internet做处理。在这个网络里面,不可能单独靠一个产品就把所有问题解决掉,必须知道在这个网络里面有这个设备做什么,构建好一个层面以后才发现这个网络层面是安全的。这里面我提出了网络七层的概念,七层里面有两类产品,一类是IDS,入侵检测系统,还有一个叫IPS,入侵防护系统,不单是检测,还有一个实时防护的能力,当我发现攻击的时候,我有一个手段能够阻挡,这就是IPS和IDS的区别。

我们产品很多,总结起来有两个功能,一个是入侵的防范,对病毒、蠕虫、木马的攻击做防范,不可能把一个包漏进来。目前在这个系统里面内置1500多种防治的策略,针对网络常见的攻击,目前可以做这样一种防护。

第二是DDOS的防护,它区别于前面的防护,这种攻击过来的一个或者两个数据包问题不大,不会对网络产生太大影响。关键影响是在短时间大量突发过来,把带宽吃掉,对这两种攻击采取了不同的方法。

给大家举一个例子,什么叫七层,为什么这个东西能在七层谈,为什么不能在防火墙放呢?这是一个典型的后门攻击例子,利用的是TCP协议,要看七层TCP里面的信息,是一个后门攻击,其他的数据流量进去没有关系。

同样在一些特殊的PC端口有一些特殊的病毒特征,这也是一样,这是一个非常好的例子。我们看了七层里面特定的信息,我们这个产品采用了全新的架构,按照全部特征比来做的,对产品的硬件要求非常强,在传统来讲,PC架构的产品不太适合高速处理的设备,在我们这个设备里面,我们有Radware CPU,通过特征比的动作,还有一个专门的硬件叫Engine。在固定模式情况下,我们速率达到16个G。

前面谈了一下产品的功能,从使用来讲我们有自己的特点,第一个特点就是透明的链接,虽然谈得很复杂,七层等等,使用起来就像一个透明的网线一样接在网络里面。同时我们提出另外一个概念是什么呢?传统网络安全的防护设备都是防内网和外网之间的,内网和内网之间也是可以防护的。

既然是安全产品,必不可少的有一些统计的报告、图表等等。同时还有一个非常关键的就是病毒更新,我们的网站有病毒特征库,每周都会更新。时间关系,技术就讲到这,我们看一下实际案例。这是国内的网站,根据游戏部分做的一个防护,在这个系统里面原来就有防火墙了,保护内部的服务器。在实际使用过程中发现很多攻击都会进来,由于业界恶性竞争,这些问题会出现。我们产品加在防火墙前面,比如开80端口,开53端口,挡在防火墙前面,做深的过滤攻击的流量。这是我们给Ebay做的方案,在Ebay里面有防火墙,也有IDS,还不够,在前面加入我们的产品,专门抵挡攻击。

在电信IDC里面也是,使用非常简单,可以保护后台所有的网络,如果愿意的话,也可以利用多端口来做内部之间的保护。

简单介绍一下Radware公司,我们是一家以色列公司,Radware定位在IT领域,分不同技术领域,有底层的传输,有光的部分,有IP电话的部分。Radware关注在网络智能应用方面,除了传统智能应用以外,我们更关注的是网络安全方面这块,利用网络交换机方面,可以做七层的防护,给用户提供七层方面的IPI的防护。

因为时间的关系,就介绍到这,有机会的话我们可以在会后交流。

中国网2004年11月9日

版权所有 中国互联网新闻中心 电子邮件: webmaster@china.org.cn 电话: 86-10-68326688