比服務器被黑了更痛苦的事兒是啥？

 

前言

對于網絡運維人員而言，人生痛苦的事兒是啥呢？估計是內網服務器被黑了。那么，有沒有比服務器被黑了更痛苦的事兒呢？有，那就是明知道內網服務器被黑了，卻搞不清楚咋就被黑了。

 

項目背景

浙江傳媒學院是國家新聞出版廣電總局和浙江省人民政府共建高校，是目前全國培養廣播影視及其他傳媒專門人才的主要基地之一。學院的校園網采用移動、電信、教育網三條鏈路接入，總計出口帶寬2G，用戶數3000人左右。

浙江傳媒學院網絡中運行了大量網絡應用，包括校園網內部辦公應用、郵件應用及對外提供服務的web應用，但僅在網絡邊界部署了一臺傳統的防火墻，沒有針對應用層的網絡安全設備對內網進行保護。隨著互聯網的發展，網絡攻擊變得頻繁且多樣，網頁及數據庫信息被篡改、入侵、信息泄密等安全事件屢見不鮮。由于缺少專業的針對應用層攻擊的防護設備，網絡運維人員能感受到這些攻擊，但無奈看不清攻擊背后的真相。

 

網康下一代防火墻NGFW，讓威脅看得見

在項目初期，客戶由于對傳統防火墻多年來的使用習慣，并不了解下一代防火墻NGFW這一新興產品，對使用下一代防火墻NGFW替換已有的傳統防火墻這一方案心存顧慮。因此，網康在方案中重點介紹了基于應用層網絡架構的安全防護體系的重要性，在部署方式上采取了透明部署模式：將網康下一代防火墻NGFW透明串接在客戶已有的傳統防火墻與核心交換機之間，并開啟IPS、AV、主動防御功能等功能，這樣下一代防火墻NGFW和傳統防火墻可以各自工作互不影響，便于客戶做對比。

 

設備部署后，NGFW很快就檢測到校園網中存在大量的“問題服務器”：

 

郵件服務器問題

校園網的郵件服務器受到了來自外部和內部IP地址的暴力破解攻擊，如圖：

 

通過點擊“詳情”按鈕，可以詳細查看攻擊的完整過程以及攻擊者的所在國家：

詳情中顯示77.94.120.36是來自俄羅斯的IP地址，該攻擊已經被網康下一代防火墻NGFW成功阻斷。

 

 

數據庫服務器問題

192.168.99.141和192.168.99.95為心理教研室的兩臺數據庫服務器，其受到主要攻擊威脅如圖：
 

攻擊阻斷日志匯總如圖：

基于以上數據，可以看到這兩臺數據庫服務器在網康NGFW測試期間不斷遭受到來自外部的針對數據庫的暴力破解攻擊，一旦破解成功黑客將可以完全獲取該數據庫的所有信息和操作權限，后果很嚴重。

應用威脅分析

網康下一代防火墻NGFW可以利用智能關聯分析技術幫助用戶直觀的發現隱藏的潛在風險，比傳統防火墻更能洞悉潛在威脅，并且通過主動防御技術系統化的抵御未知威脅：

 

  

從圖中可以直觀的看出可疑的應用入侵、源國家、源IP、應用名稱以及受害的IP數目。

 

網康最終中標，靠的是運氣？

測試結束后，網康下一代防火墻NGFW暫時下線，校園網又恢復到了傳統防火墻設備獨角戲的狀態。戲劇性的是，在NGFW下線后不久，校園網的內部服務器很快又遭受到了大量的外部攻擊。也許是受到攻擊事件的影響，客戶很快就給網康發來了中標通知書，同意使用NGFW替換傳統防火墻的技術方案。有人說網康的運氣真好，攻擊事件推動了項目的進展。對此，參與此次項目的銷售和技術人員有話說：

 

“機會永遠只留給有準備的人。網康NGFW給客戶帶來的防護效果立竿見影。深度應用識別，威脅可視化，傳統防火墻做不到的，網康NGFW做到了，而且做得好，網康取勝不靠運氣靠實力。”
 

更多下一代防火墻案例：一家做防火墻的公司是怎么和天氣預報扯上關系的？