网络设备也是网络边界很重要的设备,是整个数据中心的主干道,不能有任何闪失,这两天对Nexus网络设备进行了简单的安全加固,对主要的操作进行了下总结。
1、 企业级DDoS防火墙:用过不少厂家的DDoS防火墙,金盾、绿盟、傲盾等,这些防火墙原理上都类似,基本上都有强大的计数计时器,然后结合TCP/IP协议族的特点来进行防御,比如:每秒产生多少SYN半开连接算是攻击,每IP每秒产生多少ICMP流量算是攻击,还有某些协议中从那些位开始携带了某些特殊的字节算是攻击等等。对于一些流量不算大的攻击防御效果还是比较明显的。 2、 运营商级DDoS防护:对于流量较大的攻击,也只有运营商来防护了,运营商拥有较大的网络资源优势。运营商一般会提供两种防御方法,一种是直接进行封IP处理,比如使用RTBH技术等;还有就是对IP进行流量清洗,比如上海提供在四核心下的流量清洗服务,很多银行、互联网企业所喜好选择的服务。
防火墙分类有软件、硬件防火墙,有桌面防火墙,也有网络防火墙,还有针对具体应用的web/mail防火墙,也有DDoS防火墙等等;本篇就讲述下IDC机房常用的一类防火墙,比如cisco ASA、Juniper ISG/SRX、Checkpoint、Watchguard等此类防火墙进行说明。。防火墙经过多年的发展,也经历的很多变化,从一开始的包过滤防火墙,到状态化包过滤防火墙,再到集成UTM/IDP的应用识别过滤的防火墙;越来越智能和强大的同时,性能也越来越强。
随着技术的发展,网络边界变得也越来越复杂,比如web应用、无线接入、DCI、VPN等技术的应用,导致网络边界变的好像很庞杂,无从下手;但是无论是对边界进行分层加固,还是加强对各个网络入口的安全审计,亦或是对使用人员进行安全培训;都必须对各自网络心中有数。
前一阵子NTP放大攻击挺活跃的,现在来简单分析一下。攻击原理:1、 利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;2、 Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。3、 比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Se
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
