前言：

 高效读书，一张逻辑图读懂、读薄书中重点。

 注：下面文字只是对逻辑思维图的”翻译“，节省时间，只看图即可。

目录

网络安全逻辑思维图

介绍

网络入侵检测

传统NIDS

开源 SNORT

大型全流量NIDS

关于D还是P

对厂商的建议

T级DDoS防御

DDoS分类

多层防御结构

不同类型的企业

不同类型的业务

服务策略

NIPS场景

破防和反制

立案和追踪

链路劫持

HTTPDNS

全站 HTTPS

登录过程加密

跨IDC传输加密

应用防火墙WAF

定义

WAF结构分类

WAF安全策略建设

WAF性能优化

---

 

网络安全逻辑思维图

介绍

网络安全是传统安全解决方案里关注最多的部分，在应用安全凸显以前的时代，网络安全几乎就是解决方案的“主体”了

网络入侵检测

传统NIDS

APT和IDS（入侵检测系统）

APT的解决方案目前更多的还是在办公网络。

对生产网络而言NIDS （网络入侵检测系统）不会消亡，HIDS （主机入侵检测系统）会大放光彩。

图7.1是绿盟的NIDS产品架构，图7.2是NIPS的产品架构，区别就是D和P,前者只检测，后者除了检测还会多一个P的功能，即匹配规则后最末追加一个动作：丢包或放行。

 

最直观的就是部署，如图7-3所示

比较典型的场景是在出口处部署NIDS,做统一流量监控。

开源 SNORT

对于要求不高、有时间与精力、爱折腾、不想花钱买商业产品又不打算去自研的人来说，开源的 SNORT 是一个选择。

大型全流量NIDS

由于NIDS的架构问题（如图7-4所示），釆用的是基于攻击特征的 签名库，只要加载的攻击特征一多，系统负载 马上会飙升，远到不了系统的标称负载就会开始出现丢包和误报率的上升。

传统NIDS在大型互联网场景下有如下几个明显的缺陷

无法像互联网架构一样做到无缝的水平扩展

容易在CPU时间和存储空间上达到硬件盒子的上限

规则数量是性能杀手

升级和变更成本高

IDC规模较大时，部署多台最高规格商业NIDS的TCO很高

对于不愿意自研的人，有人想到了过渡性方案，如图7.5所示

解决了水平扩展问题，但没有解决TCO的问题

针对大规模的IDC网络，把整个架构改良了一下（如图7-6所示）

分层结构，所有节点全线支持水平扩展

检测与防护分离，性能及可用性大幅提升，按需决定防护，支持灰度

报文解析与攻击识别完全解耦，入侵检测环节“后移”

依赖大数据集群，规则数量不再成为系统瓶颈，并且不再局限于基于静态特征的规则集，而是能多维度建模

“加规则”完全不影响业务

关于D还是P

因为可以延时处理，所以D ( detection)方案的门槛比P (protection)方案要低

P方案最终是一个打折扣的 版本，利用DDoS引流-清洗(过滤)-回注的防护原理

对厂商的建议

互联网公司更加需要的是一个开放式的平台，而不是一个完全封闭的硬件盒子

T级DDoS防御

DDoS分类

网络层攻击

Syn-flood——利用TCP建立连接时3次握手的“漏洞”，通过原始套接字发送源地址虚假的SYN报文，使目标主机永远无法完成3次握手，占满了系统的协议栈队列，资源得不到释放，进而拒绝服务，是互联网中最主要的DDoS攻击形式之一。

ACK-flood——对于虚假的ACK包，目标设备会直接回复RST包丢弃连接，所以伤害值远不如syn-flood DDoS的一种原始方式。

UDP-flood一用原始套接字伪造大量虚假源地址的UDP包，目前以DNS协议为主。

ICMP-flood——Ping洪水，是一种比较古老的方式。

应用层攻击

CC       ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDoS设备-“黑洞”，通过botnet的傀儡主机或寻找匿名代理服务器，向目标发起大量真实的http请求，最终消耗掉大量的并发资源，拖慢整个网站甚至彻底拒绝服务。

DNS flood——伪造源地址的海量DNS请求，用于淹没目标的DNS服务器。

DOS攻击——有些服务器程序存在bug、安全漏洞，或架构性缺陷，攻击者可以通过构造的畸形请求发送给服务器，服务器因不能正确处理恶意请求而陷入僵死状态， 导致拒绝服务

攻击方式

混合型攻击——在实际大流量的攻击中，通常并不是以上述一种数据类型来攻击， 往往是混杂了 TCP和UDP流量，网络层和应用层攻击同时进行。

反射型攻击——2004年时反射型攻击（DRDOS）第一次披露，通过将SYN包的源地 址设置为目标地址，然后向大量的真实TCP服务器发送TCP的SYN包，而这些收到 SYN包的TCP Server为了完成3次握手把SYN∣ACK包“应答”给目标地址，完成了一 次“反射”攻击，攻击者隐藏了自身，如图7.7所示。

流量放大型攻击——以上面提到的DRDOS中常见的SSDP协议为例，攻击者将 Search type设置为ALL,搜索所有可用的设备和服务，这种递归效果产生的放大倍 数是非常大的，攻击者只需以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。

脉冲型攻击——很多攻击持续的时间非常短，通常5分钟以内，流量图上表现为突刺状的脉冲。

链路泛洪型攻击——随着DDoS攻击技术的发展，又出现了一种新型的攻击方式: 链路泛洪(link-flooding),这种方式不直接攻击目标，而是以堵塞目标网络的上一级 链路为目的 对于使用了 IP anycast的企业网络来说，常规的DDoS攻击流量会被 “分摊”到不同地址的基础设施，这样能有效缓解大流量攻击，所以攻击者发明了一 种新方法，攻击至目标网络traceroute的倒数第二跳，即上联路由，致使链路拥塞。 国内ISP目前未开放anycast,所以这种攻击方式的必要性有待观望，如图7-9所示。

多层防御结构

DDoS攻击本质上是一种只能缓解而不能完全防御的攻击

它不像漏洞那样打个补丁就是完全解决了，DDoS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。

防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDoS能力，而实 际上它们只针对小流量下应用层的攻击比较有效，对于稍大流量的DDoS攻击则无济于事。

对于200〜500G的攻击流量该如何防御，下面将展示完整的防御结构，通常可以分为4层，如图7-10所示。

ISP/WAN 层

这一层通常对最终用户不可见，如果只是中小企业，那这一层可能真的不会接触到。 但如果是大型互联网公司、公有云厂商，甚至是云清洗厂商，这层是必不可少的。

目前，中国电信专门做抗DDoS的云堤提供了 “流量压制”和“近源清洗”的服务（如 图7-11所示）

CDN/lnternet 层

对HTTP CC类型的DDoS，不会直接到源站，CDN会先通过自身的带宽硬抗，抗不了 的或者穿透CDN的动态请求会到源站

DC 层

Datacenter这一层的DDoS防御属于近目的清洗，就是在DC出口的地方部署ADS设备

OS/APP 层

这是DDoS的最后一道防线。这一层的意义主要在于漏过ADS设备的流量做最后一次过滤和缓解，对ADS防护不了的应用层协议做补充防护

实现方式可以是Web服务器模块，也可以是独立部署的旁路系统，反向代理将完整的 HTTP请求转发给检测服务器，检测服务器根据几方面的信息，如图7-16所示

链路带宽

增加带宽，这个方法却是以上所有防御的基础

不同类型的企业

DDoS的防御本质上属于资源的对抗，完整的4层防御效果虽好，但有一个明显问题就是TCO，这种成本开销互联网行业排名TOP10以外的公司基本都吃不消

针对不同的企业分别描述DDoS缓解方案的倾向和选择性

大型平台公司

对于IDC规模比较大又有钱的公司来说，防DDoS的口诀就是“背靠运营商，大力建机房”

对于网络流量比较高的公司而言，抗DDoS是有先天优势的，因为业务急速增长而带来的基础设施的扩容无意识间就成了一种防御能力

对于比较有钱，但没那么多线上服务器的公司而言，自己投入太多IDC建设可能是没必要的，此时应该转向通过购买的手段尽可能获得全部的DDoS防御机制

中小企业

资源的对抗肯定不是中小企业的强项，所以追求ROI是主要的抗DDoS策略

极度省钱模式，平时裸奔，直到受攻击才找抗DDoS厂商临时引流，这种方案效果差一点

追求效果，希望有性价比高的方案。如果本身业务运行于公有云平台，可以直接使用云平台提供的抗DDoS能力，对于Web类企业可以考虑提前购买云清洗厂商的服务

不同类型的业务

不同的类型的服务所需要的DDoS防御机制不完全相同

Web

对于Web类服务，攻击发生时终端用户可以有一定的延迟容忍，在防御机制上4层全部适用

游戏类

只有通过DNS引流和ADS来清洗

服务策略

分级策略

安全上也需要考虑针对不同的资产使用不同等级的保护策略

先将资产分类分级，划分出不同的可用性SLA要求，然后根据不同的SLA实施不同级别的防护

Failover机制

DDoS防御不只是依赖于DDoS防御的那4层手段，同时依赖于基础设施的强大，例如做分流，就需要多点异地灾备

有损服务

在应用服务设计的时候，应该尽量避免“单点瓶颈”，避免一个点被 DDoS 了整个产品就不好用了，而是希望做到某些服务即使关闭或下线了，仍然不影响其他在线的服务（或功能）

补充手段

DDoS攻击的目的不一定完全是岀于想打垮服务，比如以前在做游戏时遇到玩家DDoS 服务器的目的竟然是因为没抢到排在第一的房间，这种因素通过产品设计就可以根治

有很多应用层DDoS只是为了达成另外一种目的，都跟上述4层纵深防御机制无关，而跟产品设计有关。所以防御DDoS这事得看一下动因，不能肓目应对

NIPS场景

有时候需要提供全站IPS的虚拟补丁功能，ADS设备就可以充当这一角色，只是条目不宜多，只上 有限的条目

破防和反制

完全的防护能力是建立在人、策略、技术手段都生效的情况才有的

立案和追踪

链路劫持

HTTPDNS

运营商为了减少跨ISP的流量结算，会在本网内缓存ICP的内容，广告联盟等甚至也会劫持域名替换广告，劫持域名解析是安全上的一大隐患，意味着可以任意操纵缓存，随意挂马

全站 HTTPS

登录过程加密

跨IDC传输加密

应用防火墙WAF

定义

应用防火墙(Web Application Firewall, WAF)是Web应用防护系统，也称"网站应用级入侵防御系统”。通过针对基于HTTP/HTTPS协议的流量建立检测或拦截规则，实现安 全防护的目的。因其部署较为灵活，且对业务的侵入性比较小，是近几年非常受欢迎的一 类安全系统，且商业化产品层出不穷

WAF结构分类

WAF架构根据部署方式的不同，通常分为cname部署、module部署、网络层部署

cname部署

只需将域名Cname方式解析指向加速乐（知道创宇推出的）分配的cname別名就完成了部署。对于用户来说，整个WAF的防护和运营几乎是透明的

优势

最大的优势就是部署方便快速，且理论上还有加速网站性能还和阻断DDoS攻击等效果，实现了安全防护和性能优化双重目标

劣势

缺陷也是非常明显的，HTTPS流量是无法防护的，因为中间代理无法解析请求内容，进而无法对其攻击负载做检测与防护

module部署

这种部署方式相比cname方式麻烦得多，需在webserver部署\编译时支持modules, 编译完ModSecurity模块之后，修改webserver配置文件生效

Module WAF在应对HTTPS类业务时非常适用，缺点是产品开发与运营成本非常高

网络层部署

此类WAF产品是最易部署的方式，它可部署在机房或某被防护的网络入口位置。

它的缺点明显，对于HTTPS协议无能为力。优势也明显，无侵入性，易部署，不影响业务性能，可旁路接入，通过RESET包阻断HTTP会话

混合型WAF架构

为满足业务的多样性架构的灵活性，很多大型互联网公司还建立了混合型的WAF集群

可以通过前述几类WAF的组合，实现相互补防覆盖不到的地方，真正实现无死角防守。如图7-20所示

 

有部分公司根据自身需要实施混合部署与运营的架构，这通常需要一定的架构设计和开发能力，包括业务方的配合

国外几款商业产品的WAF支持导入证书的方式来解决HTTPS环境的安全防护，通常国内各甲方安全团队自研WAF产品基本不支持HTTPS

WAF安全策略建设

通常一个WAF产品起码会有两类规则

通用型主流漏洞检测与防护

最近出现高危lday\0day漏洞检测与防护

有运营能力和重要资产的公司会针对业务特点制定岀第三类业务风险类型的检测与防护

主流Web漏洞检测规则

最新高危漏洞检测规则

业务风险监测规则

已发现的业务漏洞，需临时封堵攻击行为，为漏洞修补赢得时间

某些高危或异常行为的监控，主要目的生产数据，为业务异常行为分析提供数据基础

WAF性能优化

架构优化

资源

如果拥有整个机房的网络建设管理权限，则可以考虑在机房核心交换机处流量镜像到我们的WAF设备，此时无论WAF的性能如何，均不会影响业务的正常运营，是较为理想的以检测为冃的的WAF架构

业务性能

核心业务基本不会接受类似ModSecurity那种侵人性的安全产品，所以更应该优先选择Cnamc或接入层module WAF方式

规则优化

算法优化

对流量进入WAF到最终遍历各种规则的整个流程要考虑清楚，层层筛选直至剩下真正需要进入正则匹配的流量，如图7-23所示

正则优化

Google出品的正则引擎RE2是目前公认的较好引擎