本期看点
前期已发布IT建设之路(专业技术篇)之“企业IT管理”、“IT技术架构”,目前正在发布的章节是“信息安全”,后续还会有“应用架构”、“数据架构”。
IT建设之路专业技术篇预计更新100期,码字不易,欢迎关注不迷路。
网络安全产品,是如何进行防御的?本期介绍WEB应用防火墙WAF、蜜罐、漏洞扫描工具、安全事件系统SIEM。
目录
信息安全
1. 信息安全原则策略
1.1 原则
1.2 策略
1.3 访问控制
1.4 区域划分
1.5 密码分级
1.6 区域划分
1.7 变更与控制管理
1.8 保护机制
1.9 政策与法规
1.10 安全角色与职责
2. 网络安全防护
2.1 经典的网络安全事件
2.2 构建自己的防御体系
2.3 网络安全威胁类型
2.4 网络安全产品 ←←本文
3. 终端安全
3.1 终端安全管理
3.2 操作系统和数据库安全管理
4. 信息安全管理体系
WEB应用防火墙WAF
WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护,主要是对web类型的应用的保护,好比web应用的贴身保镖,waf的安全能力是强大的,可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ,暴力破解,爬虫,0day,webshell 进行防护。
WAF是一道位于应用层的防线,能够理解和分析HTTP流量,并在数据达到服务器之前预先拦截恶意请求。
01
WAF如何判断恶意流量
WAF通过一系列的策略、规则和过滤机制来区分和阻止恶意流量,同时允许安全流量通过。它能够识别和拦截诸如SQL注入、跨站脚本(XSS)、文件包含、无效的用户输入等安全威胁,以下是WAF如何判断流量性质的几种方法:
1. 签名基础检测:WAF使用签名(已知的攻击模式和恶意负载的特征)来识别已知攻击。这类似于杀毒软件的方式,WAF会将流过的请求与恶意请求的数据库进行比对,一旦发现匹配,该请求就被标识为恶意的并被阻止。
2. 异常检测:通过设置正常Web应用流量的基线(比如正常请求的速率、用户通常的行为等),WAF能够检测到异常行为。这种方法依赖于统计分析,一旦流量行为偏离了既定的正常模式,WAF可能会将其视为潜在的攻击。
3. IP声誉和地理位置过滤:WAF可能会参考IP地址的声誉数据库,拦截来自已知为恶意源或位于特定国家/地区的请求。IP声誉列表经常更新,以确保由于新发现的攻击活动而封禁或解封IP。
4. 行为分析:通过分析用户的行为模式,WAF可以识别出不寻常或潜在恶意的行为。例如,如果一个IP地址在很短的时间内提交了大量的登录请求,WAF可能会识别这一行为是暴力破解攻击的迹象,并对该流量采取行动。
5. HTTP协议验证:WAF会对进入的HTTP请求进行严格的协议检查,确保它们遵守HTTP协议的标准。任何显著违反协议规范的请求都有可能被视为恶意的。
6. 自定义规则和策略:为了迎合特定Web应用的保护需求,WAF允许管理员定义自己的安全规则和策略。这些规则可以基于字符串匹配、正则表达式或特定的请求属性(如头部、URI、参数等)来识别和拦截攻击。
02
WAF工作机制
WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用,并能够阻止未经授权的数据离开应用。
WAF 的操作方式与代理服务器类似,虽然同为“中介”,但后者旨在保护客户端身份,前者却被称为反向代理,因为其使命在于保护 Web 应用服务器免受潜在恶意客户端的影响。
WAF 不拘泥于形式,是软件、设备,亦是即服务。策略可定制,以满足对 Web 应用或 Web 应用组合的独特需求。
虽然许多 WAF 要求您定期更新策略以解决新的漏洞,但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定,这种自动化变得越来越重要。
03
WAF部署方式
1、透明模式,通过将硬件串接在用户网络中,这种模式下无需改变用户的内网环境,实施简单,但是也带来了新的故障点,增加了问题排查复杂度。
2、反向代理模式,反向代理需要将流量统一通过waf来代理出去,但是这样web站点维护清晰,waf的故障并不会引起整个网络的故障。
02
蜜罐
蜜罐是一种通过伪装正常应用来迷惑攻击者的手段,可以是应用服务器,如OA, vcenter,gitlab,vpn等应用。也可以是文件形式,让攻击者获取到以后误以为得到机密文件,而将自己的信息暴露给防守者。
01
蜜罐如何诱惑攻击者并留下攻击者信息的
迷惑攻击者的方法:
-
设立诱饵: 蜜罐通常被设计成看起来包含有价值信息的系统或网络资源,如数据库服务器、Web服务等,以吸引攻击者的注意力。
-
伪装技术: 它们采用各种伪装技术让自己看起来与目标网络中的真实系统一样或是略显脆弱,从而更具诱惑力。
-
模拟真实服务: 通过模拟真实的网络服务和应用程序的响应,蜜罐能够让攻击者相信自己正在与真实的系统互动。
-
低交互与高交互: 蜜罐既可以是低交互的,提供有限的交互能力;也可以是高交互的,允许攻击者进行更深入的探索,从而记录更详细的活动。
为什么能留下攻击者信息:
-
日志记录: 蜜罐会详细记录进入系统的所有行为,包括IP地址、所尝试的攻击方法、访问的URL、提交的表单数据、执行的命令等。
-
行为分析: 记录的数据可以用来分析攻击者的行动模式、所用工具和漏洞利用尝试,这对于了解攻击者的技术水平和意图非常有用。
-
蜜罐管理工具: 一些蜜罐解决方案提供管理工具,用于汇总和分析从一个或多个蜜罐中收集到的数据,这有助于组织更快地识别和响应攻击。
-
网络流量分析: 蜜罐旨在分析与之交互的流量,这可以揭示攻击者的来源、使用的恶意软件样本,甚至攻击背后的基础设施。
下图为通过蜜罐获取到的攻击者信息:
02
蜜罐工作机制
蜜罐通过模拟一个或多个看似真实但实际上是受控的系统环境,吸引并交互攻击者,从而实现其目标。这些系统既可以模拟软件、操作系统的脆弱性,也可以模拟网络服务、甚至整个网络环境。
-
服务模拟:蜜罐软件可以模拟各种网络服务(如HTTP、SSH、FTP等),使攻击者认为他们正在与真实服务进行交互。
-
系统模拟:通过模拟操作系统的响应,蜜罐能让攻击者相信他们正在与真正的目标系统互动,从而执行进一步的攻击动作。
03
蜜罐如何部署
蜜罐通常部署在内网的各个区域,正常情况下这些蜜罐是没人会去访问的,只有潜入公司的黑客通过端口扫描等探测手段发现在这些蜜罐,所以蜜罐一旦有告警,就需要特别注意了。
推荐Hfish是一款不错的免费蜜罐。
03
网络漏洞扫描工具
漏洞评估通常分为白盒和黑盒,网络漏扫则属于黑盒的一种,它可以快速发现企业中的IT资产的脆弱性,让相关人员了解漏洞情况并进行整改,提高企业整体的安全能力。
常见的漏扫工具有Nessus,AWVS,Goby。
04
安全事件管理系统(SIEM)
SIEM(security information and event management)安全事件管理是一种解决方案,可帮助组织在有机会破坏业务运营之前识别潜在的安全威胁和漏洞。
它可以发现用户行为异常并使用人工智能来自动化与威胁检测和事件响应相关的许多手动流程,并已成为现代安全运营中心 (SOC) 用于安全和合规管理用例的主要内容。
SIEM包括日志管理,关联事件分析,事件监控和安全警报,合规管理和报告。之前提到的Eastic可以作为SIEM平台。
内容还行?点击鼓励一下吧!
注:部分文字和图片源自互联网,整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益,请后台留言。如情况属实,我们会第一时间删除并向您致歉。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套200G学习资源包免费分享!
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
