內(nèi)容安全 
大數(shù)據(jù)安全 
網(wǎng)絡(luò)安全 
更多產(chǎn)品 
網(wǎng)康NGFW助中關(guān)村第二小學(xué)解決木馬威脅
2012年來,信息安全在全球范圍內(nèi)都遭到嚴(yán)重挑戰(zhàn),對于網(wǎng)絡(luò)的依賴使得網(wǎng)絡(luò)信息安全已經(jīng)成為各部門、機構(gòu)、學(xué)校、企業(yè)等的頭等大事。信息安全問題日益嚴(yán)重,企業(yè)用戶隨時都將遭到病毒、木馬、僵尸網(wǎng)絡(luò)等威脅。許多學(xué)校、企業(yè)等網(wǎng)絡(luò)中運行著他們沒有意識到的僵尸機器。這些被遠程控制的惡意軟件目的不是為了干擾系統(tǒng),是為了找出頗具價值的財產(chǎn):知識產(chǎn)權(quán)和內(nèi)部數(shù)據(jù)。如何采取主動防御措施,防范于未然?網(wǎng)康下一代防火墻的應(yīng)用給予了很好的答案。
應(yīng)用背景:
北京市海淀區(qū)中關(guān)村第二小學(xué)于1971年建校,坐落于海淀區(qū)中關(guān)村科技園區(qū)核心地帶,是海淀區(qū)乃至北京市所屬重點小學(xué)之一。學(xué)校現(xiàn)已發(fā)展成為一所教師高素質(zhì)、設(shè)施現(xiàn)代化、社會各界廣泛好評的市區(qū)“窗口”校。目前有中關(guān)村校區(qū)、華清校區(qū)、百旺校區(qū)3個校區(qū)。
中關(guān)村二小于今年11月上線測試了網(wǎng)康下一代防火墻產(chǎn)品。使用100M互聯(lián)網(wǎng)出口,用戶數(shù)大約500人,采用了網(wǎng)康NF-S360-D型號的設(shè)備作為透明網(wǎng)橋接入到網(wǎng)絡(luò)中,檢測網(wǎng)絡(luò)中存在的安全威脅。
,網(wǎng)康工程師使用下一代防火墻幫中關(guān)村二小的IT管理員抓住了網(wǎng)絡(luò)中被別人控制已久的一臺服務(wù)器,成功地消滅了網(wǎng)絡(luò)中的安全隱患。網(wǎng)康的工程師是這樣發(fā)現(xiàn)“肉雞”的。
診斷過程:
1. 登陸NGFW,發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中的Top應(yīng)用中“基于RPC協(xié)議的若干服務(wù)-終端位置服務(wù)”連接數(shù)排名第一,如下圖所示:
網(wǎng)康NGFW系統(tǒng)監(jiān)控-Top應(yīng)用排名圖
2. 直接點擊此應(yīng)用進入應(yīng)用分析。可以看到,“基于RPC協(xié)議的若干服務(wù)-終端位置服務(wù)”存在漏洞,同時也為其他應(yīng)用提供隧道。如下圖所示:
網(wǎng)康NGFW應(yīng)用分析-指定應(yīng)用的應(yīng)用信息說明
3. 查看該應(yīng)用的源地址只有“58.119.28.31”一個,但目的地址卻非常多,且雜亂無規(guī)律。如下圖所示:
網(wǎng)康NGFW應(yīng)用分析-指定應(yīng)用的源地址、目的地址排名
4. 目的地址涉及的國家包括香港、新加坡、印度、澳大利亞等,非常可疑。如下圖所示:
網(wǎng)康NGFW應(yīng)用分析-指定應(yīng)用的目的國家排名
5. 點擊“關(guān)聯(lián)流量日志”查看該應(yīng)用對應(yīng)的流量日志,可以發(fā)現(xiàn)目的端口均為135。135端口主要用于使用微軟RPC協(xié)議保證在一臺計算機上運行的程序可以順利地執(zhí)行遠程計算機上的代碼。135端口上的RPC服務(wù)存在很大的安全漏洞,著名的“沖擊波”病毒就是利用RPC漏洞來攻擊計算機的。而58.119.28.31這臺主機明顯正在對其他IP進行RPC攻擊。如下圖所示:
網(wǎng)康NGFW數(shù)據(jù)中心-指定應(yīng)用和源地址的流量日志
至此,網(wǎng)康工程師已確定這臺主機正在利用RPC漏洞攻擊別人。經(jīng)中關(guān)村二小IT管理員確認,發(fā)現(xiàn)使用該IP的主機是一臺服務(wù)器,確實中了木馬并已被遠程控制。在這臺服務(wù)器被發(fā)現(xiàn)之前,黑客一直利用這臺服務(wù)器攻擊外網(wǎng)用戶并盜取內(nèi)部的信息,由于行為隱蔽,部署在網(wǎng)絡(luò)中已采購的安全設(shè)備都沒有檢測出問題來。網(wǎng)康下一代防火墻通過檢測出這臺服務(wù)器對應(yīng)用的非正常使用這些蛛絲馬跡,幫助用戶主動發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅,是有別于基于特征碼識別威脅的傳統(tǒng)安全設(shè)備的下一代安全工具。
用戶評價:
中關(guān)村二小信息中心負責(zé)人表示:網(wǎng)康下一代防火墻幫助我們發(fā)現(xiàn)了網(wǎng)絡(luò)中的僵尸主機,降低了網(wǎng)絡(luò)中的潛在風(fēng)險,主動防御功能真的很有一套!
——————————————————————————————————
網(wǎng)康下一代防火墻采用了大量的客戶化技術(shù),智能關(guān)聯(lián)分析技術(shù),提供基于行為分析、多種類型日志的智能關(guān)聯(lián)和威脅分析可視化的防護手段,幫助用戶直觀地發(fā)現(xiàn)隱藏的潛在風(fēng)險,比傳統(tǒng)安全體系更能洞悉潛在威脅的存在,并且通過主動防御技術(shù)能夠系統(tǒng)化地抵御未知威脅。
