防火墻

當(dāng)前主流防火墻在基本的基于五元組（源目IP、源目端口、協(xié)議號(hào)）檢查的基礎(chǔ)上引入了狀態(tài)檢測(cè)，即對(duì)于接受的報(bào)文順序有所要求，比如需要先接受到某個(gè)5元組的IMCP request（type 8 code 0）報(bào)文，然后再從反向接受到對(duì)應(yīng)5元組的ICMP replay（type 0 code 0）報(bào)文，才認(rèn)為這是一個(gè)正常狀態(tài)的報(bào)文，并將其放過。如果首包接受到一個(gè)ICMP replay報(bào)文則會(huì)認(rèn)為其狀態(tài)不合法并將其丟棄。這樣實(shí)現(xiàn)的好處在于引入了更為嚴(yán)格的訪問控制，能夠極大減小偽造源地址攻擊的危害。因此，如果業(yè)務(wù)（主要是TCP這種有狀態(tài)的）只是單向過墻，需要在防火墻上關(guān)閉狀態(tài)檢查。

將部分具有相似屬性的接口劃分安全域，為不同安全域分配優(yōu)先級(jí)，各個(gè)安全域之間按照優(yōu)先級(jí)互訪的方法過于不安全。安全域只應(yīng)該是一個(gè)名稱，用于對(duì)防火墻連接的業(yè)務(wù)區(qū)域做邏輯劃分，本身不該有優(yōu)先級(jí)概念。隱式拒絕，按需放通，最小權(quán)限才是防火墻策略部署的正確做法。尤其在零信任愈發(fā)為各大公司所接受的當(dāng)下，防火墻更為主要的作用在于攔截不必要的、非預(yù)期的訪問流量。

防火墻的性能瓶頸主要在新建、并發(fā)和吞吐。由于其特性，新建會(huì)話需要上送到CPU進(jìn)行安全過程的處理，進(jìn)入穩(wěn)態(tài)后才會(huì)通過硬件轉(zhuǎn)發(fā)，高新建會(huì)極大消耗CPU處理能力，比如漏掃多線程對(duì)大目的地址段進(jìn)行掃描、用zmap等掃描工具穿過防火墻進(jìn)行掃描等很容易就將防火墻打掛，這種狀態(tài)下由于探測(cè)完后就拆鏈所以并發(fā)不大，探測(cè)報(bào)文基本都是小包所以吞吐也不會(huì)成為瓶頸，唯一的瓶頸就行新建，這在防火墻作為出口網(wǎng)關(guān)的場(chǎng)景下比較常見。

由于防火墻的狀態(tài)檢查機(jī)制，不同狀態(tài)的連接有不同的老化時(shí)間，一旦連接老化后對(duì)應(yīng)五元組的報(bào)文經(jīng)過防火墻時(shí)會(huì)由于狀態(tài)非法而被丟棄，部分業(yè)務(wù)基于其特性要求使用長(zhǎng)連接（即對(duì)應(yīng)五元組老化時(shí)間變長(zhǎng)甚至不老化），如果并發(fā)過大而連接不老化會(huì)消耗設(shè)備內(nèi)存。

對(duì)于多核多線程的防火墻，如果逐流轉(zhuǎn)發(fā)，一旦由于五元組hash問題導(dǎo)致流量集中到某幾個(gè)核處理，將單核打滿，即使未達(dá)整機(jī)吞吐也會(huì)出現(xiàn)部分業(yè)務(wù)丟包的情況。

IPS/IDS

IPS（入侵防御系統(tǒng)）和IDS（入侵檢測(cè)系統(tǒng)）的區(qū)別在于部署位置的不同。IDS主要用于旁路部署在網(wǎng)絡(luò)中接收鏡像流量基于流量特征生成對(duì)應(yīng)的告警日志，優(yōu)點(diǎn)在于只需接收到鏡像就來即可，不會(huì)由于增加IDS而影響現(xiàn)有網(wǎng)絡(luò)或造成業(yè)務(wù)故障，缺點(diǎn)在于IDS僅檢測(cè)上報(bào)，不對(duì)檢測(cè)到的威脅進(jìn)行阻斷。IPS則是侵入式的部署到網(wǎng)絡(luò)中，可以實(shí)現(xiàn)對(duì)檢測(cè)到的威脅進(jìn)行攔截阻斷，但同時(shí)也引入了導(dǎo)致業(yè)務(wù)故障的風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)中引入IPS需要考慮如何避免IPS故障導(dǎo)致業(yè)務(wù)中斷。對(duì)于IPS可靠性，可以通過雙機(jī)熱備實(shí)現(xiàn)故障切換，或者對(duì)于透明二層部署的IPS可以通過監(jiān)控CPU和內(nèi)存利用率在觸發(fā)閾值時(shí)實(shí)現(xiàn)軟件bypass，如果IPS有硬件bypass接口，在部署的時(shí)候應(yīng)該考慮優(yōu)先使用bypass接口對(duì)，這樣在設(shè)備掉電時(shí)可以實(shí)現(xiàn)硬件bypass。此外，IPS作為7層設(shè)備，如果串聯(lián)進(jìn)網(wǎng)絡(luò)中需要在部署前對(duì)網(wǎng)絡(luò)吞吐進(jìn)行詳細(xì)評(píng)估，避免IPS成為性能瓶頸。

IPS/IDS需要保持特征庫和官方最新才能有最好的防護(hù)效果。任何一款I(lǐng)PS/IDS都不可避免的存在漏報(bào)（false pasitive）和誤報(bào)（false negative），漏報(bào)需要在有對(duì)比的情況下才能評(píng)估判斷，而誤報(bào)需要及時(shí)排除，避免由于頻繁的誤報(bào)掩蓋了真實(shí)的攻擊信息。在設(shè)備上線初期可以開啟所有規(guī)則，然后動(dòng)作設(shè)置為放行并記錄日志，定期和業(yè)務(wù)側(cè)就日志進(jìn)行溝通，將確認(rèn)是誤報(bào)的規(guī)則關(guān)閉或者放行，一段時(shí)間后在基于前期整理的誤報(bào)規(guī)則重新配置IPS規(guī)則。對(duì)于IPS誤阻斷業(yè)務(wù)從業(yè)務(wù)側(cè)的定位方法可參考我之前寫的文章：為什么服務(wù)器突然回復(fù)RST——小心網(wǎng)絡(luò)中的安全設(shè)備

以上描述的都是網(wǎng)絡(luò)側(cè)的入侵檢測(cè)和入侵防御（NIPS、NIDS），HIDS（Host-based Intrusion Detection System）也是防護(hù)中不可缺少的一環(huán)，尤其是當(dāng)終端和服務(wù)器之間建立的是HTTPS連接時(shí)，NIPS和NIDS基本沒有檢測(cè)效果，此時(shí)HIDS可以對(duì)服務(wù)器上的文件進(jìn)行掃描，并對(duì)主機(jī)上的操作進(jìn)行監(jiān)控，可以及時(shí)發(fā)現(xiàn)webshell、后門等威脅。關(guān)于HIDS更多的信息可見保障IDC安全：分布式HIDS集群架構(gòu)設(shè)計(jì)

WAF

WAF常見的部署方式有：透明部署、旁路監(jiān)聽、反向代理。

透明部署的優(yōu)點(diǎn)和IPS一樣，無需改動(dòng)上下游網(wǎng)絡(luò)，設(shè)備出現(xiàn)異常時(shí)可以通過bypass跳過設(shè)備保障業(yè)務(wù)。

旁路監(jiān)聽模式用于對(duì)鏡像流量進(jìn)行審計(jì)，和IDS功能類似，不過更專注于Web層的防御，部分旁路監(jiān)聽模式的WAF可以通過偽造服務(wù)器地址發(fā)給RST報(bào)文給終端來實(shí)現(xiàn)阻斷惡意攻擊，這需要WAF的響應(yīng)包比服務(wù)器響應(yīng)包先到達(dá)終端才能實(shí)現(xiàn)。

反向代理是WAF部署中最常見的部署方式，無論硬件WAF還是軟件WAF都適用，在WAF反向代理的場(chǎng)景下，服務(wù)器對(duì)終端呈現(xiàn)的地址是WAF的反代地址。反代部署的優(yōu)點(diǎn)在于一方面可以通過路由控制只將需要防護(hù)的流量指向WAF從而減少無關(guān)流量對(duì)WAF性能的影響；另一方面，反代模式下，終端和WAF的反代地址建立一個(gè)TCP連接，WAF和服務(wù)器建立一個(gè)TCP連接，因此可以通過WAF屏蔽掉終端對(duì)服務(wù)器的感知。

WAF透明部署的缺點(diǎn)在于所有流量都會(huì)經(jīng)過WAF，WAF會(huì)消耗性能對(duì)這些流量進(jìn)行轉(zhuǎn)發(fā)，而且一旦WAF掛死且bypass失敗會(huì)導(dǎo)致所有業(yè)務(wù)中斷，有單點(diǎn)故障風(fēng)險(xiǎn)。

旁路部署模式的WAF一般用于威脅監(jiān)控，部分攻擊需要基于服務(wù)器返回值才能進(jìn)行判斷，所以在做流量鏡像時(shí)需要保證雙向流量都被鏡像到WAF，否則會(huì)導(dǎo)致WAF的檢出率下降。

反代模式部署時(shí)，對(duì)外提供的服務(wù)器地址是WAF地址，需要在部署階段考慮WAF的高可用性，避免在WAF故障后業(yè)務(wù)無法遷移，常見的做法是在出口防火墻上對(duì)WAF監(jiān)聽地址做一次NAT，一旦WAF故障后可以在防火墻上修改映射關(guān)系將映射地址指向服務(wù)器地址。此外，由于WAF會(huì)作為客戶端向服務(wù)器發(fā)起訪問，如果業(yè)務(wù)并發(fā)過大，需要在部署初期考慮到WAF反代時(shí)候連接服務(wù)器的地址是否能池化，如果WAF連接服務(wù)器時(shí)只有一個(gè)地址那么即使把保留端口（1-1024）用上，最大并發(fā)（五元組）也只能是65535個(gè)。如果出現(xiàn)服務(wù)器主動(dòng)發(fā)FIN拆除連接的情況，可用并發(fā)數(shù)會(huì)更低。具體請(qǐng)見之前寫的例子：TCP狀態(tài)機(jī)：當(dāng)服務(wù)端主動(dòng)發(fā)FIN進(jìn)TIME_WAIT，客戶端源端口復(fù)用會(huì)發(fā)生什么

作為一個(gè)七層設(shè)備WAF對(duì)Web攻擊的敏感度要遠(yuǎn)高于IPS，因此在部署上線初期必然會(huì)出現(xiàn)大量的誤報(bào)，為了將業(yè)務(wù)影響降低到最小，可以在上線初期對(duì)業(yè)務(wù)流量?jī)H檢測(cè)記錄日志不阻斷，在手工排除誤報(bào)項(xiàng)后定期和業(yè)務(wù)側(cè)對(duì)無法確定是否為誤報(bào)的項(xiàng)進(jìn)行溝通，整理出規(guī)則例外列表和誤報(bào)URL，當(dāng)規(guī)則例外列表中的規(guī)則數(shù)和誤報(bào)URL數(shù)趨于穩(wěn)定后，可以將明細(xì)的誤報(bào)URL加白，對(duì)于規(guī)則例外列表中的規(guī)則謹(jǐn)慎禁用，將其他規(guī)則啟用阻斷后WAF完成上線。特征庫是WAF識(shí)別能力的重要依據(jù)，因此需要保持特征庫最新。建立和業(yè)務(wù)側(cè)的溝通機(jī)制及時(shí)解決誤阻斷。

虛擬局域網(wǎng)

當(dāng)前最常見的虛擬局域網(wǎng)技術(shù)有IPsec、SSLV P N、L2TP等。基于IPsec流量可以通過ESP進(jìn)行加密保證傳輸?shù)陌踩裕Ｓ糜邳c(diǎn)對(duì)點(diǎn)之間建立加密通道保護(hù)數(shù)據(jù)流。SSLV P N基于SSL提供加密傳輸，可以支持Web接入、TCP接入、IP接入，是遠(yuǎn)程辦公的首選方式。L2TP可以封裝2層報(bào)文并且能夠提供終端身份認(rèn)證功能，但是其本書不具有加密能力，因此L2TP常常結(jié)合IPsec使用，在提供認(rèn)證的同時(shí)對(duì)流量進(jìn)行加密，主要用于移動(dòng)終端遠(yuǎn)程接入內(nèi)網(wǎng)。

IPsec部署最大的困難在于需要一一比對(duì)建立IPsec隧道的兩端設(shè)備的各項(xiàng)參數(shù)，基于IKE的IPsec認(rèn)證中，一階段主要實(shí)現(xiàn)雙方互相進(jìn)行身份認(rèn)證，以及協(xié)商保護(hù)二階段所需要使用的加密和認(rèn)證算法，二階段主要用于雙方交換IPsec加密相關(guān)算法，協(xié)商感興趣流。IPsec建立起來后，對(duì)IPSec的維護(hù)主要有兩方面的工作：一方面是對(duì)于新增業(yè)務(wù)，需要同時(shí)修改兩端的IPSec感興趣流，兩端協(xié)商出來的感興趣流是各自感興趣流的交集。另一方面需要防止IPSec隧道異常斷開，異常斷開一般是由于中間鏈路不穩(wěn)定導(dǎo)致報(bào)文被丟棄或者長(zhǎng)時(shí)間沒有業(yè)務(wù)流量經(jīng)過IPSec隧道自然老化，可以通過配置DPD檢測(cè)的方式規(guī)避此類問題。

SSLV P N有豐富的認(rèn)證方式，可以在撥號(hào)過程中完成多因素身份認(rèn)證（我是誰、我有什么、我知道什么），常見的認(rèn)證有：用戶名密碼認(rèn)證、證書認(rèn)證、短信認(rèn)證等，而用戶名和密碼認(rèn)證即可以在設(shè)備本地完成，也可以將認(rèn)證數(shù)據(jù)擺渡到遠(yuǎn)端的Radius、LDAP等類型的認(rèn)證服務(wù)器，基于其返回結(jié)果對(duì)終端進(jìn)行動(dòng)態(tài)授權(quán)。終端通過SSLV P N進(jìn)行IP接入后會(huì)在終端生成虛擬網(wǎng)卡，該網(wǎng)卡會(huì)基于網(wǎng)關(guān)設(shè)備上配置的策略進(jìn)行路由下發(fā)將匹配的流量轉(zhuǎn)發(fā)到SSL隧道網(wǎng)關(guān)處理。在此種場(chǎng)景中需要注意，如果不是所有流量都強(qiáng)制走SSL隧道網(wǎng)關(guān)，終端通過域名方式訪問內(nèi)網(wǎng)資源時(shí)，由于終端系統(tǒng)的實(shí)現(xiàn)，會(huì)輪詢進(jìn)行DNS查詢，有可能會(huì)通過本機(jī)物理網(wǎng)卡設(shè)置的DNS地址進(jìn)行解析，進(jìn)而出現(xiàn)解析失敗或者解析到公網(wǎng)地址的情況。對(duì)于此類異常，一般需要強(qiáng)制流量走VPN隧道或者修改終端host來解決。

兩種加密隧道還有一個(gè)共性問題，由于隧道內(nèi)部封裝的是IP層報(bào)文，為了保持一致性，外層隧道報(bào)文的IP層一般會(huì)復(fù)制內(nèi)層報(bào)文IP頭中的FLAG置位情況，也就是說，如果內(nèi)層報(bào)文的DF（DONTFRAGMENT）標(biāo)志位置位，外層隧道報(bào)文也會(huì)將自己的DF標(biāo)志位置位。如果內(nèi)層報(bào)文比較大，在經(jīng)過加密、外層封裝后，整個(gè)報(bào)文的長(zhǎng)度可能大于接口MTU，又由于該報(bào)文設(shè)置了DF位，因此報(bào)文到達(dá)出出接口時(shí)會(huì)由于報(bào)文長(zhǎng)度大于MTU，而又不允許分片導(dǎo)致報(bào)文被丟棄造成業(yè)務(wù)異常。常見的規(guī)避辦法是在設(shè)備連接內(nèi)網(wǎng)資源的接口上或者全局調(diào)小TCP MSS 值，減少封裝后報(bào)文長(zhǎng)度大于MTU的情況出現(xiàn)。但是TCP MSS的值也不宜設(shè)置過小，否則會(huì)導(dǎo)致文件傳輸速率明顯降低。

漏掃

基于其掃描對(duì)象，常見的漏掃系統(tǒng)可以分為主機(jī)漏掃、Web漏掃、數(shù)據(jù)庫漏掃。

主機(jī)漏掃通過目標(biāo)主機(jī)發(fā)現(xiàn)→端口探測(cè)→服務(wù)枚舉的順序進(jìn)行掃描，基于獲取到的服務(wù)信息，讀取服務(wù)版本號(hào)以此作為一個(gè)重要的漏洞判斷依據(jù)，在主機(jī)漏掃的掃出漏洞中，最常見的是基于主機(jī)OpenSSL或OpenSSH版本號(hào)列舉出來的相關(guān)版本漏洞以及基于交互過程中獲取的加密算法、密鑰長(zhǎng)度、證書等信息得到的協(xié)議弱點(diǎn)相關(guān)漏洞，基于POC對(duì)主機(jī)系統(tǒng)進(jìn)行檢測(cè)后得到主機(jī)操作系統(tǒng)相關(guān)漏洞，另一方面也可以使用密碼字典對(duì)探測(cè)出來的服務(wù)進(jìn)行弱口令檢測(cè)，常見的有RDP登錄弱口令、FTP弱口令、SSH弱口令等。

Web漏掃通過url爬取、目錄枚舉、組件版本探測(cè)等進(jìn)行信息收集，構(gòu)造請(qǐng)求報(bào)文訪問爬取的url連接通過對(duì)比響應(yīng)報(bào)文判斷是否存在Web安全漏洞（諸如SQL注入等），目錄枚舉獲得的信息可能存在敏感信息泄露等問題，而基于組件版本號(hào)可以列舉出對(duì)應(yīng)組件存在的已知漏洞。

數(shù)據(jù)庫漏掃相較于前兩者更專精于數(shù)據(jù)庫弱點(diǎn)的掃描，支持豐富的數(shù)據(jù)庫種類和版本，通過數(shù)據(jù)庫漏掃實(shí)現(xiàn)弱口令掃描和老版本已知弱點(diǎn)掃描。

漏掃的使用大同小異，主機(jī)漏掃在配置時(shí)需要注意兩點(diǎn)：主機(jī)發(fā)現(xiàn)的方式，在對(duì)地址段的掃描中，一般會(huì)先進(jìn)行主機(jī)發(fā)現(xiàn)，通過arp探測(cè)、icmp探測(cè)、常用端口探測(cè)等方式進(jìn)行主機(jī)發(fā)現(xiàn)，這樣可能會(huì)漏掉部分?jǐn)r截了icmp報(bào)文、未監(jiān)聽知名端口的主機(jī)，所以如果需要一個(gè)完整的掃描結(jié)果而不是追求效率的話，可以考慮跳過主機(jī)發(fā)現(xiàn)；主機(jī)漏掃的端口探測(cè)缺省一般是常見知名端口，如果應(yīng)用側(cè)將服務(wù)修改成監(jiān)聽在非知名端口時(shí)，使用缺省掃描可能錯(cuò)過相關(guān)服務(wù)的檢測(cè)。Web漏掃檢測(cè)的目標(biāo)url數(shù)量直接關(guān)系到最終探測(cè)到的漏洞數(shù)量，漏掃可以通過順序爬取Web頁面或者用戶使用漏掃內(nèi)置瀏覽器進(jìn)行訪問漏掃記錄訪問URL的方式進(jìn)行掃描。

漏掃作為旁路設(shè)備，其本身并不承載業(yè)務(wù)流量，但是在使用漏掃的過程中很可能會(huì)影響到生產(chǎn)業(yè)務(wù)。漏掃在主機(jī)發(fā)現(xiàn)和端口探測(cè)階段會(huì)發(fā)送大量的握手報(bào)文，如果中間設(shè)備通過CPU對(duì)這些報(bào)文進(jìn)行轉(zhuǎn)發(fā)，很可能導(dǎo)致中間設(shè)備由于CPU繁忙而丟包，造成業(yè)務(wù)不可用。另一方面，對(duì)于部分兼容性不好的應(yīng)用，漏掃發(fā)送的非預(yù)期接收數(shù)據(jù)包可能導(dǎo)致應(yīng)用處理異常，造成業(yè)務(wù)不可用，因此，在開始進(jìn)行漏洞掃描前，需要基于網(wǎng)絡(luò)情況評(píng)估合理的并發(fā)值、并和業(yè)務(wù)部門對(duì)關(guān)鍵應(yīng)用的掃描方式進(jìn)行溝通，在不影響業(yè)務(wù)的前提下進(jìn)行掃描。

漏掃不可避免的存在漏報(bào)和誤報(bào)，對(duì)于漏報(bào)，使用多款工具進(jìn)行交叉測(cè)試可以集各家所長(zhǎng)盡可能全面的收集到系統(tǒng)弱點(diǎn)信息；對(duì)于誤報(bào)，最好能從網(wǎng)上找到基于漏洞原理測(cè)試的PoC或者測(cè)試工具進(jìn)行二次確認(rèn)。此外，漏掃在運(yùn)行過程中會(huì)導(dǎo)致被掃描的主機(jī)系統(tǒng)產(chǎn)生大量的日志，可能淹沒真實(shí)的攻擊流量和威脅，因此，如果漏掃功能上支持，可以在掃描請(qǐng)求報(bào)文中攜帶特征字段，用于目標(biāo)系統(tǒng)快速排出漏掃日志。

最后，漏掃本身的安全性常常被忽略，由于其掃描各類資產(chǎn)的需求，為了方便，很可能內(nèi)網(wǎng)中的安全設(shè)備對(duì)漏掃都加了白，而且有的環(huán)境中漏掃甚至跨區(qū)域存在，如果漏掃被攻破，則很可能到內(nèi)網(wǎng)所有主機(jī)可達(dá)，因此，需要對(duì)漏掃系統(tǒng)本身進(jìn)行持續(xù)的安全加固，并且做到只在使用的時(shí)候?qū)⒙呓尤刖W(wǎng)絡(luò)中，不同隔離區(qū)域之間使用不同的漏掃，避免漏掃成為打通各個(gè)區(qū)域的工具。

抗DDoS

DDoS攻擊主要通過消耗目標(biāo)系統(tǒng)的資源（連接建立能力、請(qǐng)求處理能力）或者帶寬來實(shí)現(xiàn)攻擊的目的。

消耗連接建立能力常見于syn flood攻擊，攻擊者通過偽造源地址或者控制僵尸主機(jī)向目標(biāo)服務(wù)器監(jiān)聽端口發(fā)起 tcp syn連接，服務(wù)器響應(yīng)syn + ack并為終端分配TCB，終端不響應(yīng)服務(wù)器發(fā)出的syn + ack導(dǎo)致服務(wù)器反復(fù)重傳，大量的syn包會(huì)消耗服務(wù)器的CPU新建能力，TCB占用內(nèi)存資源，導(dǎo)致服務(wù)器無法處理正常客戶端的請(qǐng)求報(bào)文。

消耗請(qǐng)求處理能力的攻擊常見于應(yīng)用層攻擊，比如HTTP慢速攻擊和CC攻擊，HTTP慢速攻擊利用HTTP的協(xié)議特點(diǎn)（

表示header結(jié)束，
表示header換行），通過以極慢的速度發(fā)送請(qǐng)求頭，導(dǎo)致服務(wù)端一直在請(qǐng)求狀態(tài)最終耗盡服務(wù)器資源；CC攻擊通過發(fā)送大量不同的查詢請(qǐng)求（等需要消耗性能進(jìn)行計(jì)算的請(qǐng)求），消耗服務(wù)器資源，導(dǎo)致服務(wù)器無法提供正常服務(wù)。

帶寬消耗型的攻擊常見于反射放大攻擊，由于其需要反射的特性（偽造源地址為受害主機(jī)），攻擊客戶端無法和反射源構(gòu)建穩(wěn)定的連接狀態(tài)，所以無連接的UDP承載的上層應(yīng)用是這類攻擊的首選利用對(duì)象。常見的反射放大攻擊有DNS反射放大攻擊、NTP反射放大攻擊、以及其他一些基于UDP的應(yīng)用bug導(dǎo)致的反射放大攻擊，如18年memcached爆出的UDP反射放大攻擊。DNS反射放大通常會(huì)利用EDNS0擴(kuò)展實(shí)現(xiàn)得到更大的UDP響應(yīng)包借此放大攻擊效果，NTP反射放大攻擊利用NTP服務(wù)器mode 7的monlist功能偽造源地址發(fā)起請(qǐng)求，服務(wù)器響應(yīng)最近請(qǐng)求的600個(gè)終端IP，觸發(fā)反射放大攻擊。

DDoS攻擊的防御和治理需要從整個(gè)攻擊鏈條上進(jìn)行，包括：僵尸網(wǎng)絡(luò)的治理（從源頭阻斷DDoS攻擊的產(chǎn)生）、反射源的安全加固（減少被用作攻擊資源的可能）、終端源地址來源確認(rèn)（緩解偽造源地址攻擊）、使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN，對(duì)攻擊流量進(jìn)行稀釋）、部署抗DDoS設(shè)備（攻擊流量的清洗）。

對(duì)于被攻擊者而言，后兩種在服務(wù)器端可以比較方便進(jìn)行部署。通過將業(yè)務(wù)域名解析到CDN，在CDN緩存靜態(tài)頁面，只有動(dòng)態(tài)操作才通過CDN反代到真實(shí)服務(wù)器處理，一方面CDN對(duì)靜態(tài)頁面的代答減小了服務(wù)器端的負(fù)載壓力，另一方面CDN的反代模式也能對(duì)網(wǎng)絡(luò)層及傳輸層的攻擊流量進(jìn)行攔截，最大程度上保證了服務(wù)器端的安全。

在網(wǎng)絡(luò)出口部署硬件抗DDoS設(shè)備也是一種極為有效的防御方法，適合對(duì)資源消耗型的DDoS攻擊進(jìn)行防御，在硬件抗DDoS中常見的攔截方法有：針對(duì)ICMP攻擊的ICMP限速，針對(duì)TCP syn flood的syn cookie、syn首包丟棄，針對(duì)UDP flood的UDP限速，針對(duì)CC攻擊的請(qǐng)求限速、驗(yàn)證碼、JS挑戰(zhàn)碼等。

在部署模式上抗D設(shè)備比較靈活，可以串聯(lián)部署到網(wǎng)絡(luò)中對(duì)所有流量進(jìn)行轉(zhuǎn)發(fā)，對(duì)防護(hù)主機(jī)進(jìn)行攻擊檢測(cè)和攔截保護(hù)，優(yōu)點(diǎn)在于部署簡(jiǎn)單，無需上下行設(shè)備配合，缺點(diǎn)在于所有流量都會(huì)流經(jīng)設(shè)備，影響防護(hù)性能。

此外抗D設(shè)備也可以使用旁掛出口的方式進(jìn)行部署，通過在出口設(shè)備上將需要防護(hù)的流量指向抗D，抗D處理完后再轉(zhuǎn)發(fā)給出口或者出口的下行設(shè)備，優(yōu)點(diǎn)在于只專注防護(hù)站點(diǎn)的流量處理，沒有其他干擾，處理能力更強(qiáng)。缺點(diǎn)在于需要出口設(shè)備配合，改動(dòng)出口。

有的抗DDoS設(shè)備為了提升處理能力將檢測(cè)和控制進(jìn)行了分離，也就是說其中一個(gè)組件負(fù)責(zé)對(duì)鏡像流量進(jìn)行檢測(cè)，當(dāng)檢測(cè)到針對(duì)防護(hù)主機(jī)的攻擊后聯(lián)動(dòng)清洗設(shè)備通過OSPF或者BGP路由注入的方式將防護(hù)主機(jī)的32位主機(jī)路由注入到被旁掛的設(shè)備中實(shí)現(xiàn)將對(duì)應(yīng)主機(jī)流量牽引到清洗設(shè)備的目的，清洗完成后再將正常流量發(fā)送給防護(hù)主機(jī)，這種模式使得流量處理能力可以得到極大的增強(qiáng)，兩組設(shè)備各司其職，正常情況下只檢測(cè)不處理，一旦觸發(fā)攻擊防范閾值則可以立即將流量牽引到清洗設(shè)備，通過聯(lián)動(dòng)共同完成對(duì)攻擊流量的檢測(cè)清洗，其缺點(diǎn)是部署復(fù)雜，需要仔細(xì)規(guī)劃網(wǎng)絡(luò)拓?fù)洌\(yùn)行動(dòng)態(tài)路由協(xié)議。

對(duì)于CDN的部署，一方面需要注意CDN的可靠性，其基于域名解析的方式?jīng)Q定了local DNS server會(huì)存在緩存，一旦CDN故障，可能導(dǎo)致終端訪問異常無法第一時(shí)間恢復(fù)；另一方面要避免攻擊者繞過CDN直接發(fā)起向真實(shí)IP的攻擊，這種情況下可以考慮開白名單只允許來自CDN的地址訪問。

出口硬件抗D需要注意閾值設(shè)置，建議在經(jīng)過幾個(gè)業(yè)務(wù)高峰周期后基于服務(wù)側(cè)的新建、并發(fā)峰值評(píng)估一個(gè)彈性值后來設(shè)置閾值，在現(xiàn)網(wǎng)中較為常見的故障時(shí)開啟了ack flood攻擊，在文件下載或者資源訪問中會(huì)有大量ack包傳遞，觸發(fā)攻擊防范后，ack包被丟棄，導(dǎo)致業(yè)務(wù)訪問變慢，實(shí)際中ack flood攻擊很少見（過不了攻擊終端出口的防火墻狀態(tài)檢查）可以考慮不開啟，避免誤阻斷。

此外，應(yīng)該糾正通過防火墻/IPS等設(shè)備來攔截DDoS攻擊的想法，這類設(shè)備對(duì)DDOS攻擊的處理常常需要CPU來抗會(huì)極大的消耗設(shè)備性能，難以防御真正的DDoS攻擊。

總結(jié)

以上是生活随笔為你收集整理的防火墙、IPS、WAF、漏扫、抗DDoS等安全产品的部署运营注意事项的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。