防火墙是网络的守护者,能够有效地阻断不必要的端口以及潜在有害的 IP 地址。通过一份需要密切留意的端口或 IP 地址列表,防火墙将确保你永远不会遭遇那些在黑名单上的隐患,从而避免陷入麻烦。然而,即便最出色的防火墙也有状态不佳的时候,有时防火墙可能会被攻破或因流量过大而难以招架,致使错误的流量趁机溜入。
以下是因防火墙被突破而给相关机构带来惨痛后果的案例。万豪国际数据泄露事件,造成了严重后果。
谁是受害者?
据说约有 5 亿客户受到影响,主要来自美国、加拿大和英国。
被窃取了什么信息?
姓名、邮寄地址、电话号码、电子邮箱地址、出生日期,部分宾客的护照号码以及预订详情。
一、攻击者如何用流量使网络不堪重负?
分布式拒绝服务(DDoS)攻击
攻击者利用僵尸网络,用过量的流量对目标发起攻击。僵尸网络攻击的分布式特性使得防火墙很难在不影响合法用户的情况下,区分合法流量与恶意流量。
流量放大攻击
攻击者利用某些协议发送一个小请求,而这个请求会被放大成巨大的响应,从而淹没目标。
大量被放大的响应在防火墙还没来得及弄清楚状况之前,就能使其不堪重负。
应用层攻击
攻击者不再针对网络本身,而是聚焦于用恶意请求使特定的应用程序陷入瘫痪。这些请求看似合法,能够避开传统防火墙的检测偷偷潜入。
TCP SYN 洪水攻击
攻击者向目标发送大量永远无法完成的连接请求,从而占用服务器资源。防火墙很难发现并阻止这类攻击,因为它看起来与正常的连接尝试很相似。
慢洛里斯(Slowloris)攻击
这种具有欺骗性的攻击手段涉及发送部分请求以保持连接处于开放状态,随着时间的推移逐渐耗尽服务器资源。
慢洛里斯攻击可能不易被察觉,因为它们不会产生大量流量。它们用极少的数据保持连接开放,在没有高流量的情况下耗尽服务器资源,这使得传统防火墙很难检测到它们。
二、如何增强防火墙安全性:
及时更新防火墙:确保你的防火墙能得到及时更新,并完成软件补丁的安装。
使用防病毒保护:防火墙尽管初衷是好的,但并不能保证提供全方位的保护。它们本身并非旨在单独对抗恶意软件。最好为其配备专门用于检测和清除这些威胁的安全解决方案。
限制可访问的端口和主机:将防火墙设置为对入站流量默认拒绝连接,并将入站和出站连接严格限制在受信任的 IP 地址白名单范围内。
制定可靠的防火墙规则:设置防火墙,使其能够控制每个 IP 一次可拥有的连接数量,并对连接尝试设置一定的限制。这有助于维持秩序。
定期检查日志:密切关注防火墙和服务器的日志。留意任何异常的连接模式,比如来自某个 IP 的大量连接或者长时间保持的连接等情况。
使用负载均衡器和反向代理:这些工具能够帮助更高效地管理连接。它们可以分担负载,限制每个客户端的连接尝试次数,甚至能更好地处理慢速连接。
缩短保活连接时长:减少保活连接持续的时间有助于清理那些多余的连接,确保合法用户不会受到影响。这样一来,每个人都能享受到流畅快速的网络服务。
三、使用日志检测工具监控防火墙和服务器日志:
EventLog Analyzer是一个中央日志管理解决方案,可以从防火墙设备收集日志,并将其组织在一个位置。可以监控防火墙日志和活动。比如:登录审核;配置更改审计;用户帐户更改审计;防火墙流量监视;事件响应等功能。
防火墙流量监控EventLog Analyzer提供来自允许和拒绝连接的流量信息。这些报表提供的详细信息根据来源、目的地、协议和端口以及时间戳进行分类并直观地表示流量,使安全管理员能够跟踪网络流量。这有助于识别来自可疑来源的异常流量趋势,并防止威胁行为者访问网络。
事件响应
EventLog Analyzer通过实时事件关联提供了有效的事件检测过程。借助内置的相关规则,您可以检测防火墙事件中的安全威胁。当发现任何可疑活动时,会向安全管理员发送即时告警。这有助于加快响应过程,在早期阶段提醒您的管理员注意可能的威胁,以便他们能够有效地保护您组织的网络免受重大损害。
EventLog Analyzer作为一个防火墙审计工具,使安全管理员可以轻松监控防火墙日志、进行防火墙分析和检测异常。EventLog Analyzer使用相关和实时告警来主动检测和缓解潜在威胁。
