互联网企业安全高级指南读书笔记之网络安全

本文是《互联网企业安全高级指南》的读书笔记,重点讨论了网络入侵检测,特别是大型全流量NIDS和T级DDoS防御策略,包括网络层和应用层攻击的分类及防御措施。此外,还介绍了链路劫持的防范方法,如HTTP DNS、全站HTTPS和登录过程加密。最后,探讨了WAF的架构分类和安全策略建设,强调了HTTPS环境下的安全防护挑战。
摘要由CSDN通过智能技术生成

网络入侵检测

传统 NIDS

绿盟 IDS 体系架构
image_1c66aslo5a8vac1pbfm4n1o3e9.png-341.3kB
绿盟 IPS 体系架构
image_1c66auq9fbd0151ej2h6ci1vdqm.png-238.6kB
IDS/IPS 部署示意图
image_1c66b412gvd21c5ujl2hhs1ar913.png-441.4kB

大型全流量 NIDS

由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系统负载会马上飙升,远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘
image_1c66cdsjeihoo4rfrj1jvu1p4n1g.png-411.8kB

针对 IPS 一个打折扣的版本就是利用 DDoS 引流 - 清洗(过滤)- 回注的防护原理,将防护的流量迁移到清洗集群,清洗集群上的过滤规则只是有针对性的几条高危漏洞规则,做一层很轻的过滤

T 级 DDoS 防御

DDoS 分类

网络层攻击
  • syn-flood:通过原始套接字发送源地址虚假的 SYN 报文,使目标主机永远无法完成 3 次握手,占满系统协议栈队列,进而拒绝服务。防御其攻击的常见方法有 syn proxy、syn cookies、第一次请求的 SYN 包丢弃等。近年攻击者开始采用 1000 字节的 SYN 包进行攻击,在消耗 CPU 资源的同时,阻塞边缘带宽,攻击流量相比标准 SYN 包大大增加
  • ACK-flood:虚假的 ACK 包,目标设备会直接回复 RST 包丢弃连接
  • UDP-flood:使用原始套接字伪造大量虚假源地址的 UDP 包
  • ICMP-flood:ping 洪水
应用层攻击
  • CC:通过傀儡主机或寻找匿名代理服务器,向目标发起大量真实 HTTP 请求,最终消耗掉大量并发资源
  • DNS-flood:伪造源地址的海量 DNS 请求,用于淹没目标的 DNS 服务器。将源地址设置为各大 ISP DNS 服务器的 IP 地址,以突破白名单限制,将查询内容改为针对目标企业的域名做的随机化处理,查询无法命中缓存时间,消耗会进一步增加。DNS 不仅在 UDP-53 提供服务器,同样在 TCP 提供服务,防御可将 UDP 查询强制转为 TCP,如果是虚假地址则不予回应。源地址伪造为 ISP DNS 的请求,可以通过 TTL 值进一步判断
  • 慢速连接攻击:针对 HTTP 协议,先建立 HTTP 连接,设置一个较大的 content-length,每次只发送很小的字节,让服务器以为 HTTP 头一直没有传输完成,这样连接一多就会出现连接耗尽
  • DOS 攻击:服务器程序存在 bug、安全漏洞或架构性
互联网企业安全建设思路 互联网企业安全高级指南 互联网企业安全建设落地实践 互联网企业落地等保2.0实践分享 工业互联网安全战略落地与推进建议 工业互联网安全实践与趋势分析 工业互联网时代的安全挑战与对策 从大型互联网企业零信任实践之路谈如何构建立体化的防御体系 等保2.0体系互联网合规实践白皮书 工业互联网体系架构 电信和互联网行业数据安全治理白皮书 电信和互联网大数据安全管控分类分级实施指南 传统型互联网公司在零信任建设上的思考 工业互联网安全实践 数据驱动的工业互联网自适应防护框架 互联网网关最佳实践安全策略 工业互联网安全战略落地与推进建议 工业互联网安全架构白皮书 工业互联网企业网络安全分类分级指南 传统金融业务与互联网金融并存模式下的数据安全设计 电子认证在互联网司法服务中的作用 工业互联网数据安全白皮书 互联网医院平台化运营探索与实践 混合云下的DevOps在vivo互联网的探索落地 工业互联网及其驱动的制造业数字化转型 面向能源互联网的数据安全防护策略与创新技术思考 大型互联网平台SDL实践:业务风险深度评估 “互联网+”时代的 数据安全 互联网个人信息安全保护指南 移动互联网应用(App)收集个人信息基本规范 移动互联网医疗安全风控白皮书 “互联网+行业”个人信息保护研究报告 如何构建企业自身的工业互联网安全可视化体系 筑牢新基建时代工业互联网安全防线 工业互联网主要解决三大问题 构建可视、可管、可控的互联网 互联网行业高弹性系统构建最佳实践 下一代互联网安全解决方案 筑牢下一代互联网安全防线-IPV6网络安全白皮书 社区电商互联网甲方安全体系 威胁情报在互联网行业的应用 新一代工业互联网发展模式与成功实践:数据驱动的新价值网络 智能安全从边缘开始 保护企业免受互联网威胁的新模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值