青岛即墨网站开发,wordpress热门文章,移动端seo关键词优化,买号链接什么是等保定级#xff1f; 之前了解了下等保定级#xff0c;接下里做更加深入的探讨 文章目录 一、网路安全大事件1.1 震网病毒1.2 海康威视弱口令1.3 物联网Mirai病毒1.4 专网 黑天安 事件1.5 乌克兰停电1.6 委内瑞拉电网1.7 棱镜门事件1.8 熊猫烧香 二、法律法规解读三、安…什么是等保定级 之前了解了下等保定级接下里做更加深入的探讨 文章目录 一、网路安全大事件1.1 震网病毒1.2 海康威视弱口令1.3 物联网Mirai病毒1.4 专网 黑天安 事件1.5 乌克兰停电1.6 委内瑞拉电网1.7 棱镜门事件1.8 熊猫烧香 二、法律法规解读三、安全厂商介绍四、安全产品4.1 防护墙4.1.1 经典防护墙VPN 4.1.2 NGFW下一代防火墙NGFW的特点NGFW的优势 4.2 IPS4.2 负载均衡应用优化 4.3 应用控制网关 流控产品BON 网络拓扑 4.4 WAFCC功能特性网络拓扑 4.5 数据库审计系统网络拓扑 4.6 异常流量清洗网络拓扑 4.7 运维审计系统网络拓扑 4.8 漏洞扫描设备4.9 安全隔离和信息交换网络拓扑 4.10 SSM安全业务管理中心4.11 态势感知平台 五、安全产品部署5.1 防护墙5.1.2 VPN 5.2 IPS5.3 负载均衡5.4 WAF5.5 数据库审计5.6 异常流量清洗5.7 堡垒机5.8 安全隔离和信息交换5.9 全场景部署交换机和路由器AC AP防火墙IDS 日志审计系统 内容缓存 行为管理 VPN 堡垒机 5.10 方案 一、网路安全大事件
1.1 震网病毒
有一个纪录片专门讲解这个事件零日
2010年美国和以色列攻击伊朗核设施开发了震网病毒攻击目标是工业上使用的 可编程逻辑控制器PCL 通过U盘传播 对工业设备的精确打击 APT攻击高级持续性威胁Advanced Persistent ThreatAPT又叫高级长期威胁是一种复杂的、持续的网络攻击。先感染U盘再感染 工作电脑 再感染工业控制
1.2 海康威视弱口令
2014年海康威视被爆出 弱口令 通过ssh telnet登录
1.3 物联网Mirai病毒
感染存在漏洞或内置有默认密码的IOT设备 网络摄像头、DVR、路由器等
1.4 专网 黑天安 事件 摄像头的安全问题
弱口令替换摄像头为终端设备存在不必要的远程服务系统组件和应用程序漏洞
1.5 乌克兰停电
2015年 俄罗斯 黑入 乌的的变电站导致停电
1.6 委内瑞拉电网
2019年 委内瑞拉 电网被攻击全国停电
1.7 棱镜门事件
直接进入 各大 网络公司的服务器直接获取情报
1.8 熊猫烧香
自动传播、自动感染 会删除gho文件(Win的系统镜像)
二、法律法规解读
三、安全厂商介绍 四、安全产品 完全设备性能指标 1.整机吞吐量状态检测机制下能处理一定包长数据的最大转发能力。带宽/3 就是 最大的出口带宽 2. 最大并发连接数同时能容纳的最大的链接数目。一个连接就是一个TCP、UDP的访问每台PC1000链接 3. 每秒新建连接数每秒可以通过安全产品建立起来的完成TCP、UDP链接。
4.1 防护墙
4.1.1 经典防护墙
防护墙保护网络周边安全的关键设备可以保护一个 信任 网络免受 非信任 网络的攻击但同时还必须允许两个网络之家可以进行合法的(符合安全策略)的通信
基本功能网络隔离和访问控制 就是ACL
VPN
VPN也是防护墙 有非常基础的功能
传统防火墙也有DPI深度检测功能查看传输层、应用层的协议
4.1.2 NGFW下一代防火墙
NGFW的特点 多维度安全控制 基本防火墙是ACL NGFW多因素考虑安全时间识别、位置识别、ID识别、终端类型识别、业务识别、病毒识别 一体化的安全策略 配置相对简单对具体的应用对没有固定端口的也可以拦截 对不同用户 不同拦截策略 智能策略 策略合规识别、策略冗余检测、策略匹配统计、风险分析联动、策略自动推荐 智能选路 负载均衡、不同流量选择不同的ISP 一般 外网访问DFM的 不用防护墙做负载均衡、有专业的设备
NGFW的优势 基于用户名控制 能够基于用户名控制不同的用户配置不同的策略 后续还可以根据用户名做log溯源 用户接入系统EAD 可以做防火墙集群 HA高可用、性能提升、主备也不用同步
4.2 IPS
IPS入侵防御 IDS入侵检测 现在都集成到一起了
防护墙偏向于边界安全管理进入到内网就管不了了 IPS对内网的流量进行分析内网对内网的攻击也可
IPS旁挂的核心交换机旁边全网流量做镜像 往IPS扔一份旁挂只检测不阻断
4.2 负载均衡 链路负载均衡多条链路电信 联通 移动 多条线 防火墙也有链路负载均衡的功能
全局负载均衡用百度 在北京就会就近用北京的百度 server
应用优化
除了基本的负载均衡还有应有优化的功能 1.TCP链接复用 2.HTTP的压缩 解压缩本来是服务器的工作 3. HTTPS的SSL的卸载本来是服务器的工作
4.3 应用控制网关 流控产品
流控产品AppControlGateway 功能
VPN内容缓存行为审计
流控设备 vs 上网行为管理设备 的 区别 4. 产品倾向不同。行为管理设备作为安全设备倾向于管理和控制比如上班时间就不能用qq。流控设备倾向于优化比如上班时间网盘速度限制把带宽留给其他办公服务。 5. 规模和场景行为管理中小型企业流控用于大型网络居多。运营商用流控实现流量计费
BON
新一代ACG应用控制网关
应用部署直接在子网中下发应用业务运行行为管理、流控保障业务可视精细审计
网络拓扑 出口可以用 ACG
4.4 WAF
专业应用层防火层设备
Web应用防火墙视频安全网关(H3C)数据库审计
针对网页的攻击非常复杂因此单独拿出来做了WAF
确保网站业务可用性防范数据泄露/网页篡改优化业务资源(和前面类似) TCP连接复用HTTP解压缩HTTPS的解密
为什么传统安全产品不能解决Web安全
CC功能特性
CC攻击肉机攻击 多重检测算法 有问题的访问 会被添加浏览器访问验证(拼图算数等)
还可以做区域的划分突然澳洲大量访问那说明黑客控制了大量的澳洲肉机
网络拓扑 在DMZ区域前或者直接在Web服务器前(DB只能由Web访问)
4.5 数据库审计系统
内容审计上网行为管理 数据库审计访问数据库操作等 运维设计堡垒机/主机加固产品
数据库审计系统功能
支持主流DB全面记录数据库访问行为识别越权操作等违规行为并完成追踪溯源。检测DB漏洞扫描提供漏洞报告和解决方案。 强大的报表功能 直接根据等保等级匹配给出改善建议
网络拓扑 也可以多个采集器
旁路 并联 部署
4.6 异常流量清洗
抗DDOS设备/抗D设备
网络拓扑 4.7 运维审计系统
堡垒机 功能 单点登录、运维审计 网络拓扑
旁挂在核心交换机旁
4.8 漏洞扫描设备
黑客攻击就需要漏洞扫描
一般人就直接用漏洞扫描软件nessus、流光、X-SCAN、SuperScan
黑客攻击的步骤
1. 漏洞扫描1.2. 主机扫描 网段内有多少台活着的主机1.3 端口扫描开了哪些端口 80 web的1.4 针对开的端口做漏洞的扫描
2. 针对扫描出来的漏洞进行攻击OS、Web、DB、Adobe(Flash)
3. 攻击完成之后黑客会创建后门或者是user、pwd或直接种木马方便控制
4. 删logWeb漏洞扫描
全面、深度扫描web应用模拟黑客做无害的攻击渗透木马检测灰盒检测知道IP 端口等信息全职支持web2.0 flash wap等支持java scrip脚本
系统漏洞扫描
支持OS漏洞、浏览器漏洞、Web应用系统
数据库漏洞扫描
主流数据库的漏洞扫描
4.9 安全隔离和信息交换
俗称网闸 GAP 哈哈哈
网闸和防火墙的区别
1. 防火墙用于逻辑隔离 、网闸 物理 隔离1.1 逻辑隔离策略配置好可以ping通1.2 物理隔离两个子网 底层网线 Switch Router 都是完全不能直接通信 网络拓扑 4.10 SSM安全业务管理中心
安全管理平台、可以作为日志审计系统 后面逐渐被态势感知取代
能收集log的设备
SSM安全管理日志审计系统行为管理和审计安全态势感知 日志审计系统的log可以做的分析
异常行为检测用户行为分析安全事件关联分析攻击源分析安全趋势分析合规性分析取证分析
在 Linux 下查询日志的源头可以通过以下步骤进行确认日志文件的路径首先需要确定你要查询的日志文件的路径。通常日志文件位于 /var/log/ 目录下不同的日志有不同的文件名比如 syslog、auth.log、messages 等。查看日志文件使用命令行工具如 cat、less 或 tail 可以查看日志文件的内容。例如运行 cat /var/log/syslog 将显示 syslog 的完整内容。搜索关键字使用 grep 命令搜索你感兴趣的关键字以便定位到日志中涉及的相关信息。例如运行 grep error /var/log/syslog 可以搜索包含 error 关键字的日志条目。分析日志根据日志条目中的相关信息如时间戳、进程ID等尝试确定日志的源头。你可以检查日志中的特定线索或错误消息以确定是哪个终端或哪个进程生成了该日志。进一步追踪根据找到的源头信息你可以进一步追踪和调查问题。例如查看相关进程的日志、配置文件或其他相关系统日志以获取更多关于问题的线索。值得注意的是具体的查询方法可能会因日志类型、系统配置和应用程序的不同而有所差异。在实际操作过程中你还可以使用其他命令和工具来帮助定位和分析日志如 journalctl、dmesg 等。4.11 态势感知平台
整合了ABC
事态可评估趋势可预测风险可感应知性可管控
核心技术log分析、流量分析 五、安全产品部署
5.1 防护墙 5.1.2 VPN VPN
可以直接用FW做旁挂在FW旁边旁挂在核心交换机旁
5.2 IPS
并联 与 核心交换机 和 Router之间 IPS 误报由于会导致很多正常用户突然不能上网 因此都不会按照标准串联而是直接旁挂在核心交换机旁
IDS旁挂在核心交换机旁边 IPS串联在防火墙之后
5.3 负载均衡 5.4 WAF 5.5 数据库审计 5.6 异常流量清洗 5.7 堡垒机 5.8 安全隔离和信息交换 5.9 全场景部署
交换机和路由器 内部局域网有核心交换机、汇聚层交换机、接入交换机 出口(NAT)路由器、直接防火墙(小型网络)、上网行为管理(小型网络)
AC AP AC 和 认证系统都旁挂在核心交换机旁
防火墙 Internet--- Router --- FireWall在Web服务的DMZ区域前要单独部署WAF
核心交换机上可以插防火墙板卡实现各个内网区域的隔离(办公楼和宿舍楼之间要过FW板卡)
IDS 日志审计系统 内容缓存 行为管理 VPN 堡垒机
都直接旁挂在核心交换机旁
5.10 方案
总结
旁挂的IDS、堡垒机、数据库审计、日志审计、漏洞扫描、服务器负载均衡、VPN
串行的FW、行为审计、链路负载均衡、WAF、IPS(串联在FW之后)
