在絕大多數(shù)人看來，網(wǎng)絡安全似乎是一個較為深奧的話題，如何規(guī)劃組織的安全建設、制定安全策略、洞悉安全問題，都給IT管理者的工作增加幾分難度。

　　很多用戶都會思考，為什么已經(jīng)部署了安全設備，當面對黑客發(fā)出攻擊時，卻仍然束手無策呢？讓我們通過下面的案例來向您展示原因到底是什么。

　　部署了安全設備為什么還受攻擊？

　　某單位信息中心的副主任是由其他部門調(diào)職過來，主管信息化建設方面的工作。任職不久便遇到一件非常棘手的事情，單位的網(wǎng)絡被攻擊癱瘓，導致內(nèi)部辦公人員無法上網(wǎng)，同時對外網(wǎng)站在公網(wǎng)用戶訪問時也時斷時續(xù)。為了能夠盡早解決問題，該副主任率隊進行了徹夜的排查。

　　傳統(tǒng)防火墻形同虛設

　　首先對主要的安全設備-傳統(tǒng)防火墻進行了排查，翻閱十幾頁日志后發(fā)現(xiàn)大部分都是對端口通信的記錄，很難從中發(fā)現(xiàn)什么問題。為什么有了防火墻，還是會受到攻擊呢？

　　IPS似乎沒有配置任何策略

　　防火墻作為訪問控制設備，沒有發(fā)現(xiàn)攻擊還可以理解。接下來，副主任率隊又對同期采購的入侵防御系統(tǒng)（IPS）進行了詳細的日志分析。令人意想不到的是，入侵防御居然也沒有發(fā)現(xiàn)什么問題。經(jīng)過排查，最終發(fā)現(xiàn)根本原因是對于剛購買的入侵防御系統(tǒng)，工程師沒有配置正確的策略。比如，添加了IIS系統(tǒng)漏洞的防護，可是對外的服務器中根本就沒有使用IIS。通常情況下，不熟悉業(yè)務的IT管理員無法根據(jù)業(yè)務情況來選擇適合的策略，所以大多數(shù)選擇了策略全開，但這必然會導致效率下降。

　　網(wǎng)絡安全其實沒有那么復雜

　　遇到這種問題，大部分用戶會思考，每年網(wǎng)絡安全建設的投入到底有沒有價值、為什么還會有攻擊。其實，網(wǎng)絡安全管理并沒有想象得那么復雜。

　　該用戶之前已經(jīng)采購過我們的上網(wǎng)行為管理和SSL VPN產(chǎn)品，偶然地了解到深信服的下一代防火墻產(chǎn)品（NGAF）防護效果較為明顯，于是決定通過測試先看一下效果。

　　了解自身業(yè)務部署的對應策略

　　針對用戶在此次事件中的遭遇進行分析，我們認為用戶需要更簡單、容易操控的安全防護策略，依據(jù)自身業(yè)務系統(tǒng)及應用的情況進行有針對性的策略配置。但事實上，很多IT管理員并不會耗費過多精力去了解業(yè)務部署。在此，我們建議用戶使用下一代防火墻的“一鍵部署”功能。

　　通過主動對網(wǎng)絡狀況進行安全評估，生成策略和報表，再通過“一鍵部署”功能，自動生成針對性的安全策略，這樣便可避免管理員由于不熟悉業(yè)務而導致的安全策略錯配、漏配問題。

　　通過對服務器、Web系統(tǒng)進行漏洞掃描，可以自動生成針對性的策略，簡化了用戶的運維。

　　了解網(wǎng)絡中的流量,實時掌控安全狀況

　　借助下一代防火墻，IT管理員可以清晰看到經(jīng)過防火墻的流量都有哪些、哪些吞噬了較大的帶寬，以此為依據(jù)來決定禁用哪些高帶寬消耗或可能帶來威脅的應用。

　　通過整體分析來找尋攻擊的蛛絲馬跡

　　各類攻擊間往往有必然聯(lián)系，如小偷入室盜竊一般，也必然要經(jīng)過踩點、試探、入室盜竊。黑客發(fā)起攻擊也大抵如此，首先踩點、然后進行漏洞掃描分析、再進行提權以及攻擊破壞、最后走之前還要留下后門。所以只有通過完整的分析，才可以真正了解攻擊本身。

　　從整體威脅中找到受攻擊的目標，再進行分析來探究攻擊者的目的。如下圖所示，這臺服務器遭受了大約42.7%的攻擊，主要是SQL注入和DoS攻擊。

　　智能聯(lián)動讓您高枕無憂

　　在幫助用戶分析和測試的過程中，我們也使用到了下一代防火墻的智能聯(lián)動功能。通過防火墻與IPS、WAF的模塊間智能聯(lián)動，可以自動生成臨時的控制策略。大幅提高了黑客的攻擊成本，是針對APT攻擊的有效防御手段之一。

　　綜上所述，網(wǎng)絡安全并沒有這么復雜，恐懼心理往往來源于對未知事物的不確定，例如：不了解業(yè)務及風險不知道如何制定策略、發(fā)現(xiàn)攻擊無法對其進行鑒別等。通過下一代防火墻的體驗，用戶可以主動評估網(wǎng)絡及系統(tǒng)的風險，一鍵生成針對性的策略、簡化運維?？梢詮腖2-7層宏觀的角度分析黑客的攻擊行為，通過智能防御手段自動生成策略，提高黑客攻擊成本。