【IT168 资讯】前言:对于网络运维人员而言,人生最痛苦的事儿是啥呢?估计是内网服务器被黑了。那么,有没有比服务器被黑了更痛苦的事儿呢?有,那就是明知道内网服务器被黑了,却搞不清楚咋就被黑了。
项目背景
浙江传媒学院是国家新闻出版广电总局和浙江省人民政府共建高校,是目前全国培养广播影视及其他传媒专门人才的主要基地之一。学院的校园网采用移动、电信、教育网三条链路接入,总计出口带宽2G,用户数3000人左右。
浙江传媒学院网络中运行了大量网络应用,包括校园网内部办公应用、邮件应用及对外提供服务的web应用,但仅在网络边界部署了一台传统的防火墙,没有针对应用层的网络安全设备对内网进行保护。随着互联网的发展,网络攻击变得频繁且多样,网页及数据库信息被篡改、入侵、信息泄密等安全事件屡见不鲜。由于缺少专业的针对应用层攻击的防护设备,网络运维人员能感受到这些攻击,但无奈看不清攻击背后的真相。
网康NGFW,让威胁看得见
在项目初期,客户由于对传统防火墙多年来的使用习惯,并不了解NGFW这一新兴产品,对使用NGFW替换已有的传统防火墙这一方案心存顾虑。因此,网康在方案中重点介绍了基于应用层网络架构的安全防护体系的重要性,在部署方式上采取了透明部署模式:将网康NGFW透明串接在客户已有的传统防火墙与核心交换机之间,并开启IPS、AV、主动防御功能等功能,这样NGFW和传统防火墙可以各自工作互不影响,便于客户做对比。方案拓扑如下:
设备部署后,NGFW很快就检测到校园网中存在大量的“问题服务器”:
邮件服务器问题
校园网的邮件服务器受到了来自外部和内部IP地址的暴力破解攻击,如图:
通过点击“详情”按钮,可以详细查看攻击的完整过程以及攻击者的所在国家:
详情中显示77.94.120.36是来自俄罗斯的IP地址,该攻击已经被网康NGFW成功阻断。
数据库服务器问题
和192.168.99.95为心理教研室的两台数据库服务器,其受到主要攻击威胁如图:
攻击阻断日志汇总如图:
基于以上数据,可以看到这两台数据库服务器在网康NGFW测试期间不断遭受到来自外部的针对数据库的暴力破解攻击,一旦破解成功黑客将可以完全获取该数据库的所有信息和操作权限,后果很严重。
应用威胁分析
网康NGFW可以利用智能关联分析技术帮助用户直观的发现隐藏的潜在风险,比传统防火墙更能洞悉潜在威胁,并且通过主动防御技术系统化的抵御未知威胁:
从图中可以直观的看出可疑的应用入侵、源国家、源IP、应用名称以及受害的IP数目。
网康最终中标,靠的是运气?
测试结束后,网康NGFW暂时下线,校园网又恢复到了传统防火墙设备独角戏的状态。戏剧性的是,在NGFW下线后不久,校园网的内部服务器很快又遭受到了大量的外部攻击。也许是受到攻击事件的影响,客户很快就给网康发来了中标通知书,同意使用NGFW替换传统防火墙的技术方案。有人说网康的运气真好,攻击事件推动了项目的进展。对此,参与此次项目的销售和技术人员有话说:
“机会永远只留给有准备的人。网康NGFW给客户带来的防护效果立竿见影。深度应用识别,威胁可视化,传统防火墙做不到的,网康NGFW做到了,而且做得好,网康取胜不靠运气靠实力。”