擅長領域：網絡、安全、通信，移動應用

Check Point軟件技術有限公司北方區安全顧問。畢業于北京信息科技大學自動化系。具有CISP信息安全注冊師，以及Check Point CCSE高級安全工程師認證。擁有超過８年的安全行業從業經驗。曾給包括金融、電信、政府、軍隊等大型客戶進行安全設計與咨詢培訓工作。

查看本期門診精彩實錄: http://doctor.51cto.com/develop-172.html  

參與最新技術門診：http://doctor.51cto.com/

精選本期網友提問與專家解答，以供網友學習參考。

Q：請問，如何構建適合企業的入侵防護系統呢？

A：這個問題很大的, 通常先了解自己的網絡應用, 再分析比較各個產品廠商,最好找到類似的企業案例應用參考;最后當然實踐出真知,上線測試一下,如果可以再模擬攻擊一下,看好不好用。

Q：老師您們好：主動防護一般主要是哪幾種形式？假如遭到惡意攻擊時應采取怎樣的應急措施？

A：根據不同的廠家和技術, 可以reject , drop , reset 連接等;遭到惡意攻擊如果不是性能上的, 可以防火墻或之前的訪問控制上直接加黑名單阻斷,如果是DOS或DDOS, 在你的日志上有攻擊源地址, 你可以找你的接入商要求封掉該地址對你的連接,或者從網絡等方式找到該地址的所有維護者,通常是某些IDC里托管的機器,可以聯系該IDC管理員,出示證據,解釋清楚, 通常管理員會斷哪個肉雞的網再通知哪個所有人,起碼我之前這樣作過。

Q：學網絡安全并不是很好，我想問下，如果把所有的漏洞都補齊，黑客還能入侵我們的操作系統嗎？如何發現自己的系統被入侵了？入侵檢測系統，檢測的哪種行為算是被入侵？

A：漏洞都補齊(只是理論上,沒有哪個廠家宣稱自己沒有任何弱點) ,也可能被侵入;比如你的系統已經把所有的想象到的補丁都打了, 但你上網訪問某些網站,說要下載某個運行軟件, 你同意了, 或者根本就是混在其他應用里下來的, 是你主動連接下載的, 那就沒有用;所以通常IPS就是,等你人為的犯錯,它也是可以起到一定防護作用的入侵檢測系統，檢測的哪種行為算是被入侵？要看它的策略定義了。

Q：個人比較頭疼被入侵的問題，公司業務已經被入侵過多次，包括webshell、掛馬以及DDOS流量攻擊，打擊很大，但是一直也沒找到讓人踏實好用的方法解決掉這些問題，趁此機會請教兩位安全方向的大師，對于做互聯網行業的公司，其公網服務器的保護該做哪些方面的安全措施？哪些設備對這些方面的防護效果會比較好？麻煩推薦下，謝謝！！

A：通常來說.公網上的服務應用,首先建議要用不是那么知名的漏洞很多的那些應用軟件,其次系統加固一下,把系統缺省啟動的那些不用的應用和端口都關掉,能修正的補丁用上,帳戶密碼就不用說了, 不要上來Root 權限就可以直接連接,怎么也得用低級帳號登陸再在需要時候切換哪;之后前面最少有防火墻做訪問限制,只開放對外的端口和應用,對那些維護類的如telnet / ssh / ftp等在防火墻上最好作好日志記錄, 能有先一步的認證機制或VPN連接就更好了,之后如果可以,再放個 IPS , 針對你的應用重點防御; 你覺得防護作的差不多了, 找個知名的攻擊類探測掃描器的廠商,針對性攻擊嘗試一下,如果還有漏洞就再補。

Q：請教兩位專家：

1、選擇了IPS,是否就沒有必要再用IDS產品了呢？

2、現在網絡安全界很流行UTM，那選擇了UTM這樣的綜合安全防護產品，是否就可以不用再單獨考慮IPS系統了呢？

A： 1. IPS 重在防御IDS 重在檢測，功能上有很大區別并不能相互替代；

2. 傳統UTM，網關之中的IPS功能較為簡單，無法和單一IPS解決方案相比。

Check Point 基于軟件刀片架構的XTM安全網關解決了傳統UTM的局限性，網關中的IPS模塊可以提供企業級IPS功能和性能。

Q：我們公司最近也在做入侵防護系統的選型工作，但是面對市面上那么多品牌和型號的IPS產品，我們該如何選擇呢？需要考慮哪些技術指標呢？

A：這個要多查些網絡對比評論的文章了.通常選擇的指標, 性能方面有加載檢測防護策略條件下的吞吐量, 時間延遲,最大并法容量,新建連接能力等, 硬件上有Fail-open卡,電源風扇磁盤存儲的冗余等, 軟件功能有檢測項目的數目,測試的誤報率和漏報率,管理界面的友好度, 統計分析報表等。

Q：一般的中小企業有上這種產品的必要嗎?   一般的防火墻,路由器,交換機的基礎架構再上這個是否會減低網絡的傳輸效率? 這和反病毒,UTM類的安全產品具體有什么不同?

A：中小型企業從安全的角度看, 也有需要, 但要看在安全方面的投資;安全和應用有的時候是有些矛盾的, 安全控制的越厲害, 用起來就有慢啊等不方便的地方, 但安全是一種需求,甚至是制度要求, 該要的還是要部署;安全產品類型很多了，防火墻, IPS , 防病毒等是不同的方面, 不能互相徹底替代的。

Q：老師，您好。我想問問，在以linux搭建服務器的中小企業在安全方面有什么地方注意的，是不是使用linux的系統出現安全問題的可能性要比window少一下呢？

A：按個人經驗,linux會少些問題;但不要忘了,linux也是很普遍應用的系統,上面的很多缺省服務也是有名的漏洞多;所以用linux注意要關閉不用的服務和端口,還有 root和其他系統用戶之間的轉換,與目錄文件權限。

Q：請問：有5臺win2k3 服務器，主要應用web ； mssql；mysql； mail ；每個服務器大致有200個左右制作質量層次不齊網站（客戶測試的），導致資源負載過大。或經常有掛馬發生，或者某個網站線程死掉無法打開。還有就是攻擊某個網站，導致整個服務器打不開如何有一個好的方案對服務器進行優化。能對上述問題有好的解決或者控制購買軟硬件可建議一二。

A：這個不是IPS就能解決的，需要提升系統設備性能, 做系統加固;最好通過虛擬機分開,不要所有應用都掛在一個系統里;然后才是前面IPS針對主要應用進行針對性防護。

Q：請問專家，IPS系統是否具有蜜罐的功能？如果攻擊者采用DDOS攻擊，那么是否能夠有什么有效的措施阻止該類攻擊？?

A：部分品牌有,通過分類后將DOS類型的攻擊數據流導引開;原則上DDOS是沒有特別好的方法阻止的, 你在被動的接受,只有提升系統設備性能和檢測判決的精度,還有聯系上層接入商,從上層封殺DDOS的肉雞地址。

查看更多精彩門診：http://doctor.51cto.com/