什么是等保定級？
之前了解了下等保定級，接下里做更加深入的探討

一、網(wǎng)路安全大事件

1.1 震網(wǎng)病毒

有一個紀(jì)錄片專門講解這個事件零日

2010年，美國和以色列攻擊伊朗核設(shè)施，開發(fā)了震網(wǎng)病毒，攻擊目標(biāo)是工業(yè)上使用的 可編程邏輯控制器PCL
通過U盤傳播
對工業(yè)設(shè)備的精確打擊
APT攻擊：高級持續(xù)性威脅（Advanced Persistent Threat，APT），又叫高級長期威脅，是一種復(fù)雜的、持續(xù)的網(wǎng)絡(luò)攻擊。先感染U盤，再感染 工作電腦 再感染工業(yè)控制

1.2 ?？低暼蹩诹?/h4>

2014年，海康威視被爆出 弱口令

通過ssh telnet登錄

1.3 物聯(lián)網(wǎng)Mirai病毒

感染存在漏洞或內(nèi)置有默認(rèn)密碼的IOT設(shè)備
網(wǎng)絡(luò)攝像頭、DVR、路由器等

1.4 專網(wǎng) 黑天安 事件

攝像頭的安全問題

• 弱口令
• 替換攝像頭為終端設(shè)備
• 存在不必要的遠(yuǎn)程服務(wù)
• 系統(tǒng)組件和應(yīng)用程序漏洞

1.5 烏克蘭停電

2015年 俄羅斯 黑入 烏的的變電站，導(dǎo)致停電

1.6 委內(nèi)瑞拉電網(wǎng)

2019年 委內(nèi)瑞拉 電網(wǎng)被攻擊，全國停電！

1.7 棱鏡門事件

直接進(jìn)入 各大 網(wǎng)絡(luò)公司的服務(wù)器，直接獲取情報

1.8 熊貓燒香

自動傳播、自動感染
會刪除gho文件(Win的系統(tǒng)鏡像)

二、法律法規(guī)解讀

三、安全廠商介紹

四、安全產(chǎn)品

完全設(shè)備性能指標(biāo)：
1.整機(jī)吞吐量：狀態(tài)檢測機(jī)制下，能處理一定包長數(shù)據(jù)的最大轉(zhuǎn)發(fā)能力。（帶寬/3 就是 最大的出口帶寬）
2. 最大并發(fā)連接數(shù)：同時能容納的最大的鏈接數(shù)目。一個連接就是一個TCP、UDP的訪問（每臺PC1000鏈接）
3. 每秒新建連接數(shù)：每秒可以通過安全產(chǎn)品建立起來的完成TCP、UDP鏈接。

4.1 防護(hù)墻

4.1.1 經(jīng)典防護(hù)墻

防護(hù)墻：保護(hù)網(wǎng)絡(luò)周邊安全的關(guān)鍵設(shè)備，可以保護(hù)一個 信任 網(wǎng)絡(luò)免受 非信任 網(wǎng)絡(luò)的攻擊，但同時還必須允許兩個網(wǎng)絡(luò)之家可以進(jìn)行合法的(符合安全策略)的通信

基本功能：網(wǎng)絡(luò)隔離和訪問控制
就是ACL

VPN

VPN也是防護(hù)墻 有非常基礎(chǔ)的功能

傳統(tǒng)防火墻也有DPI深度檢測功能，查看傳輸層、應(yīng)用層的協(xié)議

4.1.2 NGFW下一代防火墻

NGFW的特點(diǎn)

1. 多維度安全控制
   基本防火墻是ACL
   NGFW多因素考慮安全：時間識別、位置識別、ID識別、終端類型識別、業(yè)務(wù)識別、病毒識別

2. 一體化的安全策略
   配置相對簡單，對具體的應(yīng)用，對沒有固定端口的也可以攔截
   對不同用戶 不同攔截策略

3. 智能策略
   策略合規(guī)識別、策略冗余檢測、策略匹配統(tǒng)計、風(fēng)險分析聯(lián)動、策略自動推薦

4. 智能選路
   負(fù)載均衡、不同流量選擇不同的ISP
   
   一般 外網(wǎng)訪問DFM的 不用防護(hù)墻做負(fù)載均衡、有專業(yè)的設(shè)備

NGFW的優(yōu)勢

1. 基于用戶名控制
   能夠基于用戶名控制，不同的用戶配置不同的策略
   后續(xù)還可以根據(jù)用戶名做log溯源
   用戶接入系統(tǒng)EAD

2. 可以做防火墻集群
   HA高可用、性能提升、主備也不用同步

4.2 IPS

IPS：入侵防御 IDS：入侵檢測
現(xiàn)在都集成到一起了

防護(hù)墻：偏向于邊界安全管理，進(jìn)入到內(nèi)網(wǎng)就管不了了
IPS：對內(nèi)網(wǎng)的流量進(jìn)行分析，內(nèi)網(wǎng)對內(nèi)網(wǎng)的攻擊也可

IPS旁掛的核心交換機(jī)旁邊，全網(wǎng)流量做鏡像 往IPS扔一份，旁掛只檢測不阻斷

4.2 負(fù)載均衡

鏈路負(fù)載均衡：多條鏈路，電信 聯(lián)通 移動 多條線
防火墻也有鏈路負(fù)載均衡的功能

全局負(fù)載均衡：用百度 在北京就會就近用北京的百度 server

應(yīng)用優(yōu)化

除了基本的負(fù)載均衡，還有應(yīng)有優(yōu)化的功能：
1.TCP鏈接復(fù)用
2.HTTP的壓縮 解壓縮（本來是服務(wù)器的工作）
3. HTTPS的SSL的卸載（本來是服務(wù)器的工作）

4.3 應(yīng)用控制網(wǎng)關(guān) 流控產(chǎn)品

流控產(chǎn)品AppControlGateway
功能：

1. VPN
2. 內(nèi)容緩存
3. 行為審計

流控設(shè)備 vs 上網(wǎng)行為管理設(shè)備 的 區(qū)別：
4. 產(chǎn)品傾向不同。行為管理設(shè)備作為安全設(shè)備，傾向于管理和控制：比如上班時間就不能用qq。流控設(shè)備傾向于優(yōu)化，比如：上班時間網(wǎng)盤速度限制，把帶寬留給其他辦公服務(wù)。
5. 規(guī)模和場景：行為管理中小型企業(yè)，流控用于大型網(wǎng)絡(luò)居多。運(yùn)營商用流控實(shí)現(xiàn)流量計費(fèi)

BON

新一代ACG應(yīng)用控制網(wǎng)關(guān)

• 應(yīng)用部署，直接在子網(wǎng)中下發(fā)應(yīng)用
• 業(yè)務(wù)運(yùn)行，行為管理、流控保障
• 業(yè)務(wù)可視，精細(xì)審計
  

網(wǎng)絡(luò)拓?fù)?/h4>

出口可以用 ACG

4.4 WAF

專業(yè)應(yīng)用層防火層設(shè)備：

• Web應(yīng)用防火墻
• 視頻安全網(wǎng)關(guān)(H3C)
• 數(shù)據(jù)庫審計

針對網(wǎng)頁的攻擊非常復(fù)雜，因此單獨(dú)拿出來做了WAF

• 確保網(wǎng)站業(yè)務(wù)可用性
• 防范數(shù)據(jù)泄露/網(wǎng)頁篡改
• 優(yōu)化業(yè)務(wù)資源(和前面類似)
  • TCP連接復(fù)用
  • HTTP解壓縮
  • HTTPS的解密

為什么傳統(tǒng)安全產(chǎn)品不能解決Web安全

CC功能特性

CC攻擊：肉機(jī)攻擊
多重檢測算法


有問題的訪問 會被添加瀏覽器訪問驗證(拼圖算數(shù)等)

還可以做區(qū)域的劃分：突然澳洲大量訪問，那說明黑客控制了大量的澳洲肉機(jī)

網(wǎng)絡(luò)拓?fù)?/h4>

在DMZ區(qū)域前，或者直接在Web服務(wù)器前(DB只能由Web訪問)

4.5 數(shù)據(jù)庫審計系統(tǒng)

內(nèi)容審計：上網(wǎng)行為管理
數(shù)據(jù)庫審計：訪問數(shù)據(jù)庫操作等
運(yùn)維設(shè)計：堡壘機(jī)/主機(jī)加固產(chǎn)品

數(shù)據(jù)庫審計系統(tǒng)功能：

1. 支持主流DB，全面記錄數(shù)據(jù)庫訪問行為，識別越權(quán)操作等違規(guī)行為，并完成追蹤溯源。
2. 檢測DB漏洞掃描，提供漏洞報告和解決方案。

強(qiáng)大的報表功能

直接根據(jù)等保等級匹配，給出改善建議

網(wǎng)絡(luò)拓?fù)?/h4>

也可以多個采集器

旁路 并聯(lián) 部署

4.6 異常流量清洗

抗DDOS設(shè)備/抗D設(shè)備

網(wǎng)絡(luò)拓?fù)?/h4>

4.7 運(yùn)維審計系統(tǒng)

堡壘機(jī)
功能 ：單點(diǎn)登錄、運(yùn)維審計

網(wǎng)絡(luò)拓?fù)?/h4>

旁掛在核心交換機(jī)旁

4.8 漏洞掃描設(shè)備

黑客攻擊就需要漏洞掃描

一般人就直接用漏洞掃描軟件：nessus、流光、X-SCAN、SuperScan

黑客攻擊的步驟：
1. 漏洞掃描（
	1.2. 主機(jī)掃描 ：網(wǎng)段內(nèi)有多少臺活著的主機(jī)
	1.3 端口掃描：開了哪些端口 80 web的，
	1.4 針對開的端口，做漏洞的掃描
2. 針對掃描出來的漏洞進(jìn)行攻擊（OS、Web、DB、Adobe(Flash)）
3. 攻擊完成之后，黑客會創(chuàng)建后門（或者是user、pwd）；或直接種木馬，方便控制
4. 刪log

Web漏洞掃描

• 全面、深度掃描web應(yīng)用
• 模擬黑客做無害的攻擊滲透
• 木馬檢測
• 灰盒檢測（知道IP 端口等信息）
• 全職支持web2.0 flash wap等，支持java scrip腳本

系統(tǒng)漏洞掃描

• 支持OS漏洞、瀏覽器漏洞、Web應(yīng)用系統(tǒng)

數(shù)據(jù)庫漏洞掃描

• 主流數(shù)據(jù)庫的漏洞掃描

4.9 安全隔離和信息交換

俗稱：網(wǎng)閘 GAP 哈哈哈

網(wǎng)閘和防火墻的區(qū)別：
1. 防火墻用于邏輯隔離 、網(wǎng)閘 物理 隔離
	1.1 邏輯隔離：策略配置好，可以ping通
	1.2 物理隔離：兩個子網(wǎng) 底層網(wǎng)線 Switch Router 都是完全不能直接通信

網(wǎng)絡(luò)拓?fù)?/h4>

4.10 SSM安全業(yè)務(wù)管理中心

安全管理平臺、可以作為日志審計系統(tǒng)

后面逐漸被態(tài)勢感知取代

能收集log的設(shè)備：

• SSM安全管理
• 日志審計系統(tǒng)
• 行為管理和審計
• 安全態(tài)勢感知

日志審計系統(tǒng)的log可以做的分析：

1. 異常行為檢測
2. 用戶行為分析
3. 安全事件關(guān)聯(lián)分析
4. 攻擊源分析
5. 安全趨勢分析
6. 合規(guī)性分析
7. 取證分析

在 Linux 下查詢?nèi)罩镜脑搭^可以通過以下步驟進(jìn)行：

確認(rèn)日志文件的路徑：首先需要確定你要查詢的日志文件的路徑。通常，日志文件位于 /var/log/ 目錄下，不同的日志有不同的文件名，比如 syslog、auth.log、messages 等。

查看日志文件：使用命令行工具如 cat、less 或 tail 可以查看日志文件的內(nèi)容。例如，運(yùn)行 cat /var/log/syslog 將顯示 syslog 的完整內(nèi)容。

搜索關(guān)鍵字：使用 grep 命令搜索你感興趣的關(guān)鍵字，以便定位到日志中涉及的相關(guān)信息。例如，運(yùn)行 grep "error" /var/log/syslog 可以搜索包含 "error" 關(guān)鍵字的日志條目。

分析日志：根據(jù)日志條目中的相關(guān)信息，如時間戳、進(jìn)程ID等，嘗試確定日志的源頭。你可以檢查日志中的特定線索或錯誤消息，以確定是哪個終端或哪個進(jìn)程生成了該日志。

進(jìn)一步追蹤：根據(jù)找到的源頭信息，你可以進(jìn)一步追蹤和調(diào)查問題。例如，查看相關(guān)進(jìn)程的日志、配置文件或其他相關(guān)系統(tǒng)日志，以獲取更多關(guān)于問題的線索。

值得注意的是，具體的查詢方法可能會因日志類型、系統(tǒng)配置和應(yīng)用程序的不同而有所差異。在實(shí)際操作過程中，你還可以使用其他命令和工具來幫助定位和分析日志，如 journalctl、dmesg 等。

4.11 態(tài)勢感知平臺

整合了ABC

• 事態(tài)可評估
• 趨勢可預(yù)測
• 風(fēng)險可感應(yīng)
• 知性可管控

核心技術(shù)：log分析、流量分析

五、安全產(chǎn)品部署

5.1 防護(hù)墻

5.1.2 VPN

VPN：

1. 可以直接用FW做
2. 旁掛在FW旁邊
3. 旁掛在核心交換機(jī)旁

5.2 IPS

并聯(lián) 與 核心交換機(jī) 和 Router之間

IPS 誤報由于會導(dǎo)致很多正常用戶突然不能上網(wǎng)，
因此都不會按照標(biāo)準(zhǔn)串聯(lián)，而是直接旁掛在核心交換機(jī)旁

IDS旁掛在核心交換機(jī)旁邊
IPS串聯(lián)在防火墻之后

5.3 負(fù)載均衡

5.4 WAF

5.5 數(shù)據(jù)庫審計

5.6 異常流量清洗

5.7 堡壘機(jī)

5.8 安全隔離和信息交換

5.9 全場景部署

交換機(jī)和路由器

內(nèi)部局域網(wǎng)有：核心交換機(jī)、匯聚層交換機(jī)、接入交換機(jī)
出口(NAT)：路由器、直接防火墻(小型網(wǎng)絡(luò))、上網(wǎng)行為管理(小型網(wǎng)絡(luò))

AC AP

AC 和 認(rèn)證系統(tǒng)，都旁掛在核心交換機(jī)旁

防火墻

Internet---> Router ---> FireWall

在Web服務(wù)的DMZ區(qū)域前要單獨(dú)部署WAF

核心交換機(jī)上可以插防火墻板卡，實(shí)現(xiàn)各個內(nèi)網(wǎng)區(qū)域的隔離(辦公樓和宿舍樓之間要過FW板卡)

IDS 日志審計系統(tǒng) 內(nèi)容緩存 行為管理 VPN 堡壘機(jī)

都直接旁掛在核心交換機(jī)旁

5.10 方案

總結(jié)

旁掛的：IDS、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、漏洞掃描、服務(wù)器負(fù)載均衡、VPN
串行的：FW、行為審計、鏈路負(fù)載均衡、WAF、IPS(串聯(lián)在FW之后)

文章來源地址http://www.zghlxwxcb.cn/news/detail-627814.html

到了這里，關(guān)于網(wǎng)絡(luò)安全設(shè)備及部署的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！