虚拟化影响全球环境的五大关键点,防止恶意攻

首席技术官显然都希望通过部署服务器虚拟化项目来节约成本,据Gartner研究公司预测,目前有超过80%的企业级用户制定了虚拟化计划或者部署了相关的项目。但是那些承担着全球环境下虚拟化服务器管理重任的首席执行官们要想实现他们基础架构的高效优化就必须清除某些障碍。

DNS全称DomainNameSystem域名解析系统,通俗地说,DNS就是帮助用户在Internet上寻找名称与IP对应的解析服务。为了更方便使用网络资源,DNS服务提供一种将电脑或服务名称对应到关联该名称IP位址的方法。名称一定比枯燥的IP地址更容易了解和记忆。大多数使用者喜欢使用易记的名称例如www.51cto.com)来寻找网络中像是邮件服务器或网页服务器,而不是使用IP地址。当使用者在应用程式中输入易记的DNS名称时,DNS服务会将此名称解析成它的数值位址。
 
DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
 
然而重要的资源就可能引起有心人士的关心,随着Internet上DNS攻击事件的发生,DNS的安全问题也成为大家关心的焦点,常见的方式为:
 
1、针对DNS系统的恶意攻击:发动DNS DDOS攻击造成DNS名称解析瘫痪。
 
2、DNS名称劫持:修改注册讯息、劫持解析的结果。
 
当DNS服务器遭遇DNSSpoofing恶意攻击时,不管是正常DNS查询封包或非正常的封包都经由UDPPort53进到内部的DNS服务器,DNS服务器除了要处理正常封包外,还要处理这些垃圾封包,当每秒的封包数大到一定的量时,DNS服务器肯定无法处理了,此时正常的封包请求,也一定无法得到正常的回应,当查询网站的IP无法被回应时,用户当然连接不到网站看不见网页,如果是查询邮件服务器时,那邮件也无法被寄出,重要的资料也无法被顺利的传递了,因此,维护DNS服务的正常运作就是一件非常重要的工作。
 
针对以上的问题AX有一个解决方式,就是DNS应用服务防火墙,AX在这问题有三个有力的方法,可以有效的缓解这些攻击所造成的影响,
 
1、首先将非DNS协定的封包过滤Malformed Query Filter)
 
2、再来将经由DNS服务器查询到的讯息做缓存DNS Cache)
 
3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制Connection Rate Limit)
 
Malformed Query Filter:  
这种非正常的封包通常都是用来将对外网络的频宽给撑爆,当然也会造成DNS服务器的忙碌,所以AX在第一线就将这类的封包过滤,正确的封包传递到后方的服务器,不正常的封包自动过滤掉避免服务器的负担。
 
DNS Cache:  
当DNS查询的回应回到AX时,AX可以预先设定好哪些Domain要Cache哪些不需要Cache,如果有Cache,当下一个同样的查询来到AX时,AX就能从Cache中直接回应,不需要再去DNS服务器查询,一方面减轻了DNS服务器的负担,另一方面也加快了回应的速度。
 
再者,当企业选用此功能时更能仅设定公司的Domain做Cache,而非关此Domain的查询一律不Cache或者拒绝回应,这样更能有效的保护企业的DNS服务器。
 
而ISP之类需提供大量查询的服务,更适合使用此功能,为DNS服务提供更好更快的回应。
 
Connection RateLimit:  
当查询的流量大到一定的程度时,例如同一个Domain每秒超过1000个请求,此时在AX上可以启动每秒的连线控制,控制进入到后端DNS服务器的查询量,超过的部分直接丢弃,更严格的保护DSN服务器的资源。
 
相信许多人期待在日新月异的网际网络中看到创新的网络技术,并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的,这也是一切网络应用服务的基础。
 
本文提及DNS防火墙应用服务功能,除了希望提醒读者DNS服务的重要外,亦希望读者对DNS的安全性上有所认知,进而知道如何保护DNS服务器,并在防止被恶意攻击上提供一些有效的帮助。

合适的日志管理工具能大幅减轻管理企业系统日志数据的负担。但是,除非组织为这个工具投入一定的时间和精力,否则再好的工具也会很快变成一个差劲的工具。以下为大家提供了6个确保成功的日志管理最佳实践。
 
  门外汉用上了工具依然是门外汉  
如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上,那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置,以正确解析您网络中的事件和日志,这样出来的报表才具有商业和技术价值。另一个“愚蠢”的错误是不去浏览和审查警告控制台,因而错过了关键的安全事件。因此,不要犯只重视日志管理技术而不重视系统使用的错误。
 
通过预定义需求来精简RFP(请求提案)  
创建RFP(请求提案,需求方案说明书)是一个费时的过程。而一些需求一旦被定义出来,就能在随后的RFP中复用。这在制定日志管理的需求时很常见,因为日志管理的基本需求(例如日志文件的格式,写入日志文件的数据,等等)都是一样的,可以预先定义出来。使用预定义需求的另一个好处是这确保了在精简RFP周期的同时保持需求的一致性。
 
确定你有所需的信息
 
为了能够写出有效的关联规则,日志管理系统必须有足够的上下文数据进行分析。例如,为了确定某个特定的流量或者行为来自哪里,就需要知道源IP地址信息,这意味着日志管理系统必须先记录下IP地址信息,这样引擎才能够将其解析出来。又例如,如果要写一条日志分析规则对目标设备或者应用发生了某种行为进行告警,相关的日志数据必须先记录下那些行为才行。
 
  不要局限于静态分析  
大部分组织需要做的最后一件事是将那些没有整体分析模型的数据填写到另一张大表中,然后利用这张大表来进行事件分析。根据预期或者可接受行为的基线设定的告警不仅要通过分析大表中单条记录的特征来产生,还要通过分析一组记录集的特征来产生。不妨设想一下关键数据库的登录记录。
 
一般会将两次登录失败的行为设定为触发告警的基线,但是如果那个数据库系统的密码策略从使用简单的字典单词变为使用8位以上非字典单词字符串,那么登录失败次数的基线可能要增大,因为用户要适应新的策略。具有智能感知能力的日志管理系统应该可以进行调节,以监测发展趋势,并为管理员提供反馈。管理员可以决定使用该趋势信息临时地改变告警阀值。
 
使用日志数据描述正在或者已经发生的事情  
“日志是检查故障的极佳信息源”。因为大部分情况下用户判断导致故障原因的所有所需信息都能够从日志文件中找到。在危机期间,管理人员经常不得不进入被动模式,往往只能通过直觉、猜测、将不可再分的无关信息拼凑到一起等方式来判断正在或者已经发生的事情。而日志是真实发生事件的记录,日志管理系统允许管理人员针对故障信息实时地撰写和产生报表,从而真实地告诉响应小组网络中发生了什么。
 
使用范畴可以超越安全本身  
日志管理系统是一个绝佳的安全设备信息收集和分析工具,不仅可以用这些信息实现安全感知,而且可以利用这些信息实现其他目标。例如,可以将这些信息用于分析(你的)十大业务关系的客户体验。
 
许多WEB应用分析系统无法提供展示真实客户体验的细粒度视图。而设计良好的应用系统日志可以记录这些客户体验,日志管理系统可以通过这些日志来分析客户体验,从而将日志管理系统的运用领域扩展到安全分析之外。

根据Gartner的研究数据显示,事实上受到学习曲线的限制,目前所有的服务器工作负载中仅有25%是在虚拟机环境中完成的。思科系统公司服务器使用和虚拟化技术事业部的产品营销总监Preshan Gandi表示,某些挑战是随着企业逐步向虚拟化环境过渡,企业用户希望能将平常用于管理物理基础架构的方式和同样的技术原理应用到虚拟环境中去。

...

...

这样就会导致严重的问题比如:“我们如何平衡各不相同的数据中心并将他们用统一的方式连接起来,以便他们看起来更像是个一体化环境而不是各自为政的数据中心?我们该如何构建统一的数据中心池以便工作负载能在数据中心之间实现无缝迁移?”Gandi这样说道。

首席信息官们在寻求虚拟化投资来实现高水平的灵活性,运作的有效性和创新能力的同时必须将这些问题考虑在内,只有这样才能为实现他们内部和外部用户的战略和运营目标提供支持。

许多首席信息官们相信,当虚拟化与云计算战略结合在一起就能实现这些目标。根据Forrester Research公司最新的调研结果,大约有80%接受调研的企业级IT基础架构的决策者认为,整合和拓宽服务器虚拟化的应用是企业优先考虑或者高度重视的方面。

据Forrester Research公司负责企业级体系架构专业研究的首席分析师兼副总裁Galen Schreck表示下一步已经显而易见了。他表示“私有云是企业全球化环境下虚拟化应用的下一个发展方向”。

随着首席信息官们按照这个方向去推进他们的全球化虚拟环境,专家建议他们要谨记以下的五个建议:

1.顺应趋势,迎接挑战。全球虚拟化的趋势促使IT管理人员可以整合和更好的管理数据中心的蔓延这些数据中心通常都是在他们自己的地盘内自动化运行)。部署数据中心虚拟化的全球战略可以允许IT管理者整合数据,创建服务器资源池,实现资源的互相备份,让更多的计算资源供更多的用户使用。

本文由ca88手机版登录发布于亚洲城官网,转载请注明出处:虚拟化影响全球环境的五大关键点,防止恶意攻

TAG标签: ca88手机版登录
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。