整合營銷服務(wù)商
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
周一通常是個不受待見的日子,又遇上下雨,如果再開個會,那應(yīng)該就是有點糟糕了吧。
4、WAF
WEB應(yīng)用防火墻,這個重要性不言而喻了,因為等保合規(guī)要求必須有,而且,這個客觀的說,還是有用的。畢竟,針對性很強,出現(xiàn)了也很多年了,日益成熟。想到一個問題,就是DMZ區(qū)(軍事停火區(qū)),好尷尬,我想這個停火區(qū),應(yīng)該是黑客攻擊的重點區(qū)域吧。我們在建立數(shù)據(jù)機房的時候,講道理,是需要把用戶上網(wǎng)的數(shù)據(jù)流量和業(yè)務(wù)功能區(qū)域分開的。簡單的說,就是比如一個企業(yè)很大,有10棟樓,然后這10棟樓的光纖應(yīng)該各種匯聚之后呢,比如接在一個萬兆交換機A上,然后A呢再接到整個企業(yè)的核心交換機C上,那么企業(yè)的一些應(yīng)用,服務(wù),比如郵件,WWW,OA,erp等呢,應(yīng)該接在另一個交換機B上,B再接到C下面。也就是用戶和業(yè)務(wù)的數(shù)據(jù),也就是流量不要混在一起,否則,請問安全設(shè)備怎么接。
這個圖還不錯,挺形象,簡單。中間橙色的是黑客的流量,被WAF分析后,拒絕了。
這個圖說明了WAF的各種部署形式。常用的是4這種方式,WAF下面接的都是一些業(yè)務(wù)應(yīng)用,就是放在DMZ區(qū)域的前端。如果網(wǎng)絡(luò)復(fù)雜,沒法做到,可以使用5,反向代理的方式,幾乎是萬能的方式,很贊,我在另一篇文章里介紹過。大概意思就是反代的話,不論你要保護的網(wǎng)站在哪個位置,都被強制要求去反代設(shè)備那里走一下。這樣,只要在反代前部署一個WAF,所有的應(yīng)用都會被強制流量經(jīng)過WAF,然后就都會被檢查過濾了。
WAF上面會自帶很多檢測策略,為什么安全產(chǎn)品要不斷迭代更新,一個是引擎,提升算法加快速度。還一個就是規(guī)則庫,因為不斷有新的呃攻擊手法,就需要有相應(yīng)的檢測規(guī)則,這些規(guī)則就在WAF里,用于檢測流量中暗藏的各種攻擊。就像安檢一樣,安檢有個目錄,可能有100種不能通過的東西,這些東西可能每年會不斷更新的,所以WAF里的規(guī)則也是如此。
5、日志審計
又是一天了,估計TT昨天沒有看教程,所以今天的繼續(xù)在昨天WAF的后面吧,也湊湊長度。
其實還是當面上課有意思,可以啟發(fā)式教學,可以當面羞辱學生,哈哈。OK,言歸正傳。
其實,我是想出去轉(zhuǎn)轉(zhuǎn)買點花過年裝飾家里用的。
日志審計,顧名思義了。那么很容易想到兩個問題,審計哪些日志呢?日志的內(nèi)容又是哪些呢。好吧,我們簡單展開一下。
日志,現(xiàn)在的設(shè)備等,這個是必須項目,比如你開發(fā)設(shè)計了一個軟件產(chǎn)品,那么登錄操作這個產(chǎn)品的日志都需要記錄下來備查。比如WHEN,WHO,做了WHAT。比如admin管理員2月2日下午16:02分登錄了系統(tǒng),進行了事件查詢,又創(chuàng)建了任務(wù)等。這些在日志里都要求可以看到。否則上級監(jiān)管單位會給你發(fā)通知。
一個簡單的日志例子圖
一般設(shè)備都會有日志產(chǎn)生,比如網(wǎng)絡(luò)設(shè)備,安全設(shè)備,服務(wù)器等。這些日志呢,可以存在本地,比如服務(wù)器上的一些訪問日志,A用戶訪問了服務(wù)器上的網(wǎng)站,那么服務(wù)器上就會有個文件里存放了相應(yīng)的日志文件,比如,是個txt文件,以日期命名,打開后,里面會有A用戶什么時間,用什么瀏覽器,使用的什么IP地址,訪問了服務(wù)器上具體的哪個頁面。
所以,黑客攻擊步驟里,有個很重要的過程叫清理痕跡,就是要把日志清理掉。low一點的黑客會把整個日志都干掉,這個其實也就是表明了,服務(wù)器被人搞過了,高級一點的黑客,會把日志中僅和自己相關(guān)的日志清理掉,這樣呢,一般不會引起懷疑。網(wǎng)上可以看下,有很多專門清理日志的小工具。
所以,關(guān)于日志,建議的做法就是除了本地,還要異地同步存儲一份。比如可以存到日志審計設(shè)備里。那么比如服務(wù)器A,怎么把它自己的日志存儲到日志審計設(shè)備L的呢。一般兩種方式:
1)、一種就是標準的使用syslog的形式,這個是一種協(xié)議,支持這個協(xié)議,就可以使用這個形式。就像滴滴平臺,你認可接受專車等的協(xié)議,那么你就可以去跑相關(guān)業(yè)務(wù)。這個syslog協(xié)議就是專門用來發(fā)送本地日志到某一特定的日志中心的。在服務(wù)器A上需要配置一下syslog的IP和端口,然后呢,相關(guān)的日志就會同步推送到日志中心L了。這里要注意的是,一般安全設(shè)備或者網(wǎng)絡(luò)設(shè)備對syslog的支持比較好,就是有界面可以直接配置syslog的IP和端口,但是服務(wù)器的支持就不夠好。相對來說,linux對日志的日志還好點,windows的支持差一些。
2)、所以呢,還有一種日志傳輸方式,就是使用agent,對,就是使用代理。也就是在要傳輸日志的服務(wù)器上安裝一個小插件,這個插件的作用就是把服務(wù)器的日志傳輸?shù)街付ǖ膕yslog設(shè)備,比如日志審計設(shè)備。所以,如果一個企業(yè)有上百臺機器的日志要審計,這其實是有點工作量的。(如果使用反向代理,那么我們只要把反代的日志傳輸?shù)綄徲嬙O(shè)備即可。)
個人覺得,還真沒有特別做的很好的日志審計廠商,因為接觸測試過好幾家,對于服務(wù)器的日志的審計,都比較麻煩,就是獲取服務(wù)器日志信息。還有個問題就是日志的格式的問題,因為不同的設(shè)備產(chǎn)生的格式不同,審計設(shè)備是需要做一些格式化的處理的。
日志審計設(shè)備,可以把網(wǎng)絡(luò)中的各種設(shè)備的日志都放在一起,進行綜合性的查詢,這對于一些安全問題的定位和溯源來說還是很有必要的。
最后引用一下百度的官方介紹:
綜合日志審計平臺通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息,經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進行集中存儲和管理,結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能,實現(xiàn)對信息系統(tǒng)日志的全面審計。
通過日志審計系統(tǒng),企業(yè)管理員隨時了解整個IT系統(tǒng)的運行情況,及時發(fā)現(xiàn)系統(tǒng)異常事件;另一方面,通過事后分析和豐富的報表系統(tǒng),管理員可以方便高效地對信息系統(tǒng)進行有針對性的安全審計。遇到特殊安全事件和系統(tǒng)故障,日志審計系統(tǒng)可以幫助管理員進行故障快速定位,并提供客觀依據(jù)進行追查和恢復(fù)。
日志審計不難搞,很多廠商都有,比如安恒,啟明,綠盟,迪普等。重要的對各種設(shè)備產(chǎn)品的兼容性,還有就是響應(yīng)速度,就是性能,因為查海量日志,速度很關(guān)鍵。
*請認真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
