5G时代，互联网***的“道”与“术”

5G时代，互联网***的“道”与“术”

派小拓 派拓网络

万物互联的时代，5G加速冲浪，大幅升级了企业的数字化运营并提高了生产效率，也引发了不容忽视的安全威胁。通过潜入互联网系统干扰、勒索、破坏企业等情况已是常态。网络守护者与网络***者就像一场猫捉老鼠的游戏，每天都在城市上演。

***者在暗处伺机而动，那守护者又该寻找何种防守神器？资深安全顾问张玉山在“企业安全创新技术”主题沙龙会议上，曾分享Palo Alto Networks（派拓网络）完整的互联网解决方案与互联网三大场景下的***最佳实践，让我们跟随专家视角，感受互联网***的“道”与“术”。（派小拓剧透：更多行业应用及场景解决方案，尽在4月13日信息安全无忧周~）

如果把网络***释放的气息比喻为香水，有些人完全闻不到，有些人可以模糊地感受到，最灵敏的人则可以清晰地分辨出前调、中调、后调的细腻层次。Palo Alto Networks (派拓网络）早已“霸气出手”，了解和掌握网络***的方方面面，能够在第一时间做出相应相应，特精心整理互联网三大场景的***最佳实践与您分享，希望对企业有所裨益。

△点击观看三大场景的***最佳实践

目录遍历在IPS中不会有固定特征，但是，要发现遍历操作需要特征来加持，这就需要系统有能力灵活定义这些特征，只有这样才能按图索骥，有的放矢。Palo Alto Networks（派拓网络）建议采用图形化界面，既可以避免手写正则表达式给运维人员带来的麻烦，还能有效简化人们对威胁的定义。如采用特征匹配的方式来设定特征，通过对安全策略进行设定，Palo Alto Networks（派拓网络）防火墙就能在第一时间识别，并获得更多有关***的信息，包括：哪里发起、到哪里、目标端口、出接口、入接口、威胁的名字、采取的动作、匹配的规则等。

***者在经过侦查，获取一定信息后，便可以利用发现的漏洞发动***。不同于遍历扫描，此时可以使用默认的IPS特征来进行检测和防御。首先对威胁程度进行划分，针对高、中、低等不同等级的威胁，进行相应的拦截和阻断。

***者通过控制内网主机进行DNS查询的动作，来泄露敏感信息，此项操作简单，但效果甚佳，可以规避一般防火墙或WAF的防范。这种向目标服务器发起DNS请求来泄露相应信息的方式，在IPS库里一般没有相应的特征，需要自定义。首先，对威胁起个名字，设定优先级、严重程度、默认动作。其次，在特征里面，Palo Alto Networks（派拓网络）会列出一些已知的恶意域名，当去访问目标服务器的时候，如有漏洞，可以做SQL注入，在HTTP请求的路径里嵌入Context语句，驱使目标服务器发起请求。在整个HTTP信息里面，只要查到这样的字段，系统就判定有***。

策略方面，仍然在四层允许流量，在七层做相应的检测，当模拟***启动后，会看到从外网到内网的访问，其源地址、目标地址处于变化状态，但流量的内容特征匹配了我们定义的***行为。针对这样的流量，我们就能将动作设定为Reset-both，威胁的严重程度为High，只要出现这样的字段就可以匹配到已经定义好的特征，进行有效防御。

完整的互联网解决方案

助力企业网络安全防护

对于网络安全而言，无论技术和时代如何演变，对于未知病毒和威胁的感知和防御，永远是最为紧迫的，防范于未然比被攻破了再去亡羊补牢要好得多。致力于企业级网络安全防护的Palo Alto Networks (派拓网络)，已经在互联网***领域积积累了丰富的经验，沉淀出了完整的互联网解决方案。

△点击观看互联网解决方案

● 针对广大客户出海需求与分支部署的现状

传统SD-WAN连接方式虽然可以降低专线运维成本，但在网络安全方面暴露出致命短板，而堆叠更多品牌产品的方案则会给网络带来更多不稳定性和复杂度。Palo Alto Networks (派拓网络) Prisma Access解决方案可有效化解。

Palo Alto Networks (派拓网络) Prisma Access解决方案是业界完整的基于Zero Trust架构的SASE解决方案。部署Prisma Access解决方案之后，既可以把分支机构直接与总部相连，也可以把分支节点与Prisma Access相连，发挥其作为中心节点的作用，从而完成更加复杂的混合部署。

此外，Prisma Access方案践行了“零信任”安全理念，其网络层作为平台可实现分支机构与移动用户的接入与互联，而安全层则提供相关安全功能，网络与安全则构成了Prisma Access的主体结构并以此为基础实现对互联网和SaaS的接入，从而构建起名副其实的零信任架构。并且分支机构、总部及云中Prisma Access的安全配置，都可通过统一界面实现集中管理。

● 多出口、异地双活甚至多活的数据中心成为灾备的不二之选。

如何构建多数据中心异地双活架构？如何应对南北机房之间流量传输异步数据流即非对称路由问题？

别担心，Palo Alto Networks (派拓网络)有妙招。

方法一

在异地防火墙设备之间架设HA1，HA2和HA3三条同步线路，其中HA1和HA2做心跳和会话的同步，HA3做数据通道，这样部署可确保应用的正常访问不会出问题，解决非对称路由的问题。

方法二

在搭建异地数据中心时，可采用集群的方式来部署。最多可采用16台设备来构建一个集群，作为一个整体对外提供服务。比较适合集群的一个场景，比如在双11、双12购物节等业务流量突增的情况下，可以帮助互联网企业对安全架构进行快速的伸缩，以整个集群的容量来响应业务的变化。另外，异地数据中心如果从原来部署一台增加到现在两台，两个数据中心就是四台，而这四台设备就可以构建一个集群，避免了单个数据中心内的一台设备出现问题而必须切换到另外另一数据中心链路之上的难题（单个数据中心内的两台设备部实现切换即可），从而大大提升系统架构的整体可用性。

● 实现自动化防御和运维

在安全情报的加持下，Palo Alto Networks (派拓网络)通过三种途径来实现自动化防御。

◆ 如果防火墙检测到威胁，可以查询云端沙箱，根据结果做出响应。 ◆ 通过AutoFocus安全情报系统，实时更新恶意名单。 ◆ 借助第三方工具如Splunk，SIEM系统等，以API的形式将黑名单整合，无需人工介入便可实现自动化防御。

网络实战***演练是当前企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分，也是解决互联网安全问题的“道”与“术”。Palo Alto Networks（派拓网络）积极分享网络***演练最佳实践，旨在帮助更多企业铸造“防得住”、“攻不破”、“打得赢”的技术实力，远离***，实现业务安全平稳运行，赋能数字化转型。

查看更多关于5G时代，互联网***的“道”与“术”的详细内容...