1、据统计,本周瑞星共截获了 875810 个钓鱼网站,共有 451 万网民遭遇钓鱼网站攻击。瑞星安全专家提醒用户,在机场、图书馆、咖啡馆等公共场所使用免费 WiFi 上网时,一定要注意安全,不要随意连接没有设置密码的网络。目前,发现很多黑客会在公共 WiFi 场所私自搭建不设密码的“小 WiFi”,用户一旦接入,上网提交的各种数据、账号、密码极有可能被截获,从而导致个人隐私泄露。网民上网时,一定要向网络提供商询问清楚,避免出现信息丢失的问题。本周要警惕一个名为 Ngrbot 蠕虫后门的病毒,这是一个蠕虫类型的后门病毒,病毒代码经过加密,病毒运行后,首先会进行解密,然后将其代码注入到新启动的进程中
2、,使病毒代码得以运行。大家在了解了防火墙技术、产品、方案和选购等系列内容后,似乎就等着买回一款产品安装,然后就可以高忱无忧地享用防火墙了。然而,我们有所不知,除选购合适的防火墙外,更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后,由于缺乏相应技术贮备或对产品功能的了解,并没能充分发挥防火墙的作用。 事实上,在防火墙安装和投入使用后,并非就是万事大吉了。首先,防火墙的安全防护功能的发挥需要依赖很多因素,不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙,内部人员管理控制欠完善也有可能使得防火墙形同虚设。其次,为了提高防火墙的安全性,用户可以将防火墙和其他安全工具相结合,例如和漏
3、洞扫描器与 IDS 搭配使用。还有,要想充分发挥防火墙的安全防护作用,必须对它进行升级和维护,要与厂商保持密切的联系,时刻注视厂商的动态。因为厂商一旦发现其产品存在安全漏洞,就会尽快发布补丁产品,此时应及时对防火墙进行更新。 为了让大家更好地使用防火墙,我们从反面列举 4 个有代表性的失败案例,以警示读者。 例 1:未制定完整的企业安全策略 网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。 该企业内部网络的核心交换机是带路由模块的三层交换机
4、,出口通过路由器和 ISP 连接。内部网划分为 5 个 VLAN,VLAN 1、VLAN 2 和 VLAN 3 分配给不同的部门使用,不同的 VLAN 之间根据部门级别设置访问权限;VLAN 4 分配给交换机出口地址和路由器使用;VLAN 5 分配给公共服务器使用。在没有加入防火墙之前,各个 VLAN 中的 PC 机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个 VLAN 4 中的空闲 IP 地址,并把网关指向路由器;将VLAN 5 接入到防火墙的一个网口上。这样,防火墙就把整个网络分为 3 个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙
5、安全规则的限制。 问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用 QQ 聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。 问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多 PC 机通过电话线和 Internet 相连,导致网络边界不惟一
6、,入侵者可以通过攻击这些 PC 机然后进一步攻击内部网络,从而成功地避开了防火墙。 解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网; 同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开 QQ 使用的 TCP/UDP 端口,使得企业员工可以在工余时间使用 QQ 聊天软件。 结论和忠告:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。 例 2:未考虑防火墙
7、的可扩充性 问题描述:某大型企业一年前购买了几十台防火墙,分布在总部局域网和全国各地的分支机构中。刚投入使用后,各部门和分支机构都反映不错,没有影响到网络性能。随着信息化程度的不断提高,该企业决定构建视频会议系统,却发现防火墙不支持该应用协议,如果要实现视频会议,必须让防火墙打开一个很大的缺口,这会留下很大的安全隐患。 问题分析:视频会议系统一般都采用 H.323 协议(ITU-T 第 16 工作组的建议,由一组协议构成,其中有负责音频与视频信号的编码、解码和包装,有负责呼叫信令收发和控制的信令,还有负责能力交换的信令。),在创建符合 H.323 协议的 Voice-Over-IP(IP 语音
8、) 通道时,需要用到 TCP 协议的1720、1731 和 1735 等端口,并且会使用到 TCP 协议(传输控制协议)的、大于 1024 的端口及 UDP协议的、大于 30000 的端口,这些端口是动态随机选取的。如果防火墙没有专门针对 H.323 协议实现动态包过滤,那么必须静态地配置安全规则,打开 TCP 协议 1024 到 65535 之间的所有端口以及UDP 协议 (用户数据包协议)30000 到 65535 之间的所有端口,这样等于给防火墙打开了一个缺口,留下了安全隐患。此外,视频会议系统对于网络的服务质量和语音传输的优先级要求很高,如果防火墙不支持 QoS(服务质量)功能,就无法
9、保证参加视频会议的主机的的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性,导致防火墙不能适应新的应用环境。 解决办法:购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生,请求防火墙厂商或安全集成商帮助解决。 结论和忠告:“安全当头,应用为先”。如果不支持诸如视频等网络应用,再好的安全设施也是没有意义的。请关注防火墙的功能是否全面,是否全面兼容各种应用协议。 例 3:未考虑与其他安全产品的配合使用 问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和 IDS(入侵检测系统)产品。当系统管理员利用 IDS 发现入侵行为后,必须每次都要手工调整防火墙安全策略
10、,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。 问题分析:选购防火墙时未充分考虑到与其他安全产品如 IDS 的联动功能,导致不能最大程度地发挥安全系统的作用。 解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或 IDS 等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是 IDS 产品) ,支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当 IDS 发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵
11、者拒之门外。 结论和忠告:保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。 例 4:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet 物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包
12、,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。 问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。 解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。 结论和忠告:保护网络安全是动态的过程,防火墙需要积
13、极地维护和升级。可疑的事件划分为几类:一是知道事件发生的原因,而且这不是一个安全方面的问题;二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从未再出现过;三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试服务器连接);二是试图利用普通账户登录(如 guest);三是请求 FTP 文件传输或传输 NFS(
14、Network File System,网络文件系统)映射;四是给站点的 SMTP(Simple Mail Transfer Protocol,简单邮件传输协议) 服务器发送 debug 命令。如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别是因特网上的通用账户;二是目的不明的数据包命令; 三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息 ;三是新的日志文件包含有不能解释的密码信息或数据包
15、痕迹;四是特权用户的意外登录 (例如 root 用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。4) 对试探作出的处理通常情况下,不可避免地发觉外界对防火墙进行明显试探有人向没有向 Internet 提供的服务发送数据包,企图用不存在的账户进行登录等。试探通常进行一两次,如果他们没有得到令人感兴趣的反应,他们通常就会走开。而如果想弄明白试探来自何方,这可能就要花大量时间追寻类似的事件。然而,在大多数情况下,这样做不会有很大成效,这种追寻试探的新奇感很快就会消失。一些人满足于建立防火墙机器去诱惑人们进行一般的试探
16、。例如,在匿名的 FTP 区域设置装有用户账号数据的文件,即使试探者破译了密码,看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的,这还能得到报复的快感,但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒,从而坚定了入侵者闯入站点的决心。保持最新状态保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时现有的工具也会不断地被更新。因此,要使防火墙能同该领域的发展保持同步。当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如
17、果开始时对站点需求估计的越准确,防火墙的设计和建造做的越好,防火墙适应这些改变所花的时间就越少。瑞星防火墙 2012 版正在进行火热公测,其主打的“安全上网”、“ 绿色上网”和“ 智能上网”包含了数十项专业防火墙功能,保护网购、网游、微博、办公等常见应用面临的各种上网安全和黑客攻击问题.通过测试发现,瑞星防火墙 2012 版确实带来了很多实用且好用的功能,下面选择几个跟大家一起分享一下。亮点 1:IP 切换器家庭、公司网络切换智能瞬间搞定!笔记本用户经常能够面对的一个问题就是,在家里、公司或其它地方上网,每次都需要设置网络 ip 地址、 dns 服务器地址等信息,非常麻烦。瑞星防火墙 2012
18、 版中新增加的“IP 切换器”就是帮助用户在多个网络间连接时,能够无缝的自动进行网络接入,省去频繁的网络配置。本人平时工作的时候经常遇到这样一个麻烦 有时要使用外网 IP,有时又要使用内网的 IP,然而同时设置两个 IP 又会出现一些不方便的问题。而“IP 切 换器”正是解决这个问题的,使用 IP 切换可以设置好各个场所的网络配置。当你到某个场所时,只需要鼠标轻轻一点,便可以自动切换到该场所的网络环境了。亮点 2:网速保护有限网速内的最合理分配,看网页,下载两不误!网速是有限的,而下载、看片、玩游戏是无限的!在使用下载工具进 行下载或者在线看视频的时候,经常因为带宽问题导致浏览网页时候半天没有
19、打开,严重的时候可能会出现“无法显示该页面”。瑞星防火墙 2012 版的“网速保 护”功能就是当出现这种情况时,可以根据网络情况进行必要的调整和重新分配,使浏览网页的请求和响应可以得到足够的网速保障,以达到在网速不足时流畅浏览 网页的目的。亮点 3:ADSL 优化群租用户的上网必备利器!再也不用担心多人上网的问题了!还是那句话,网速是有限的,但到了晚上上网高峰时,多人抢占有限的带宽,有人用 bt 下载、有人在线看片、有人打游戏,总会有不和谐的声音瑞星防火墙 2012 版的新功能“ADSL 优化”功能:当用户使用 ADSL 共享多台电脑上网的时候,此功能可以根据网络情况来合理分配网络带宽,避免某
20、台 电脑因为下载而导致其他电脑无法正常上网的问题。在“我的带宽” 那里输入当前带宽,单击“ 已开启” 按钮即可启动此功能。QoS(Quality of Service)服务质量,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要 QoS,比如Web 应用,或 E-mail 设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。VoIP(Voice over Internet Protocol)简而言之就是将模拟声音讯号(Voice)数字化
21、,以数据封包(Data Packet)的形式在 IP 数据网络 (IP Network)上做实时传递。VoIP 最大的优势是能广泛地采用 Internet 和全球 IP 互连的环境,提供比传统业务更多、更好的服务。VoIP 可以在 IP 网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet 呼叫中心、 Internet 呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。在选择使用协议的时候,选择 UDP 必须要谨慎。在网络质量令人不十分满意的环境下,UDP 协议数据包丢失会比较严重。但是由于 UDP 的特性:它不属于连接型协议,因而具有资源消耗小,处理速度快的优点,所以通常音频、视频和普通数据在传送时使用 UDP 较多,因为它们即使偶尔丢失一两个数据包,也不会对接收结果产生太大影响。比如我们聊天用的 ICQ 和 QQ 就是使用的 UDP 协议。
