本期亮点前

期已经发布了《IT建设之路》（专业技术篇）的“企业IT管理”和“IT技术架构”，目前正在发布的章节是“信息安全”，其次是“应用架构”和“数据架构”。

IT 建设之路预计更新100期，码字不易，欢迎关注，不要迷路。

您如何防御网络安全产品？本期将为您介绍WAF（WEB ，WAF）、、漏洞扫描工具、安全事件系统SIEM。

目录

信息安全

1. 信息安全原则和政策

1.1 原则

1.2 策略

1.3 访问控制

1.4 分区

1.5 密码等级

1.6 分区

1.7 变更和控制管理

1.8 保护机制

1.9 政策法规

1.10 安全角色和职责

2. 网络安全保护

2.1 典型的网络安全事件

2.2 建立你自己的防御

2.3 网络安全威胁的类型

2.4 本文←←网络安全产品

3. 端点安全

3.1 端点安全管理

3.2作系统和数据库安全管理

4. 信息安全管理体系

01

WEB 应用程序防火墙 （WAF）

）

Web 应用防火墙 （WAF） 旨在提供 7 层应用层级保护，主要用于保护 Web 应用，就像 Web 应用的贴身保镖一样，WAF 的安全功能强大，可以防止 SQL 注入、XSS 跨站、CSRF、敏感信息访问、开源组件漏洞利用、暴力破解、 爬网程序和 0day.

WAF 是应用层的一道防线，用于理解和分析 HTTP 流量，并在恶意请求到达服务器之前将其阻止。

01

WAF 如何判断恶意流量

？

WAF 使用一系列策略、规则和过滤机制来区分和阻止恶意流量，同时允许安全流量通过。它能够识别和阻止安全威胁，例如 SQL 注入、跨站点脚本 （XSS）、文件包含、无效用户输入等，以下是 WAF 确定流量性质的几种方法：

1. 基于签名的检测：WAF 使用签名（已知的攻击模式和恶意负载的特征）来识别已知的攻击。这类似于防病毒软件的工作方式，WAF 将传入请求与恶意请求数据库进行比较，一旦找到匹配项，该请求就会被识别为恶意请求并被阻止。

2. 异常检测：WAF 可以通过设置正常 Web 应用流量的基线来检测异常行为，例如正常请求速率、用户的正常行为等。这种方法依赖于统计分析，一旦流量行为偏离了既定的正常模式，WAF 可能会将其视为潜在攻击。

3. IP 信誉和地理位置过滤：WAF 可以参考 IP 地址的信誉数据库来阻止来自已知恶意来源或位于特定国家/地区的请求。IP 信誉列表会频繁更新，以确保 IP 因新发现的攻击活动而被阻止或解除阻止。

4. 行为分析：通过分析用户行为模式，WAF 可以识别异常或潜在的恶意行为。例如，如果某个 IP 地址在极短的时间内提交了大量登录请求，WAF 可能会将此行为识别为暴力破解的迹象，并对流量进行处理。

5. HTTP 协议验证：WAF 对传入的 HTTP 请求执行严格的协议检查，以确保它们符合 HTTP 协议的标准。任何严重违反协议规范的请求都有可能被视为恶意请求。

6. 自定义规则和策略：为了满足特定 Web 应用程序的防护需求，WAF 允许管理员定义自己的安全规则和策略。这些规则可以根据字符串匹配、正则表达式或特定请求属性（如标头、URI、参数等）来识别和阻止攻击。

02

WAF 的工作原理

WAF 通过过滤、监控和阻止恶意 HTTP 或流量对 Web 应用程序的访问来保护您的 Web 应用程序，并能够防止未经授权的数据离开应用程序。

WAF 的运行方式与代理服务器类似，充当“中介”，但旨在保护客户端身份，而前者被称为反向代理，因为它的任务是保护 Web 应用程序服务器免受潜在恶意客户端的侵害。

WAF 不是一种形式，它是软件、设备和服务。可以自定义策略以满足 Web 应用程序或 Web 应用程序组合的独特需求。

虽然许多 WAF 要求您定期更新策略以解决新的漏洞，但机器学习的进步使一些 WAF 能够自动更新。随着威胁形势变得更加复杂和不确定，这种自动化变得越来越重要。

03

WAF 部署模式

1. 透明模式，通过将用户网络中的硬件串联起来，这种模式不需要改变用户的内网环境，实现简单，但也带来了新的故障点，增加了故障排除的复杂性。

2. 反向代理模式，反向代理需要通过 WAF 代理流量，但这样一来，网站的维护就明确了，WAF 的故障不会造成整个网络的故障。

02

蜜罐

蜜罐是一种通过伪装普通应用程序来迷惑攻击者的手段，这些应用程序可以是应用程序服务器，例如 OA、vpn 等。它也可以是文件的形式，这样攻击者就可以误以为他已经获得了机密文件，并将他的信息暴露给防御者。

01

蜜罐如何引诱攻击者并留下攻击者消息

迷惑攻击者的方法：

设置诱饵：蜜罐通常设计为包含有关系统或网络资源（如数据库服务器、Web 服务等）的有价值信息，以吸引攻击者的注意。

伪装技术：他们使用各种伪装技术，使自己在目标网络中看起来容易受到或略微容易受到真实系统的攻击，从而使其更具诱惑力。

模拟真实服务：通过模拟真实网络服务和应用程序的响应，蜜罐能够让攻击者相信他们正在与真实系统交互。

低交互与高交互：蜜罐既可以是低交互的，也可以是有限的交互功能;它也可以是高度交互的，允许攻击者更深入地探索，从而记录更详细的活动。

为什么会留下攻击者信息：

日志记录： 详细记录了进入系统的所有作，包括 IP 地址、尝试的攻击方法、访问的 URL、提交的表单数据、执行的命令等。

行为分析：记录的数据可用于分析攻击者的行为模式、工具和漏洞利用尝试，这有助于了解攻击者的技能水平和意图。

蜜罐管理工具：一些蜜罐解决方案提供管理工具，用于聚合和分析从一个或多个蜜罐收集的数据，从而帮助组织更快地识别和响应攻击。

网络流量分析：蜜罐旨在分析它们与之交互的流量，这可以揭示攻击者的来源、使用的恶意软件样本，甚至是攻击背后的基础设施。

下图是通过蜜罐获取的攻击者信息

02

蜜罐工作机构

蜜罐通过模拟一个或多个看似真实但实际受控的系统环境，吸引攻击者并与之交互来实现其目标。这些系统可以模拟软件、作系统、网络服务甚至整个网络环境的漏洞。

03

蜜罐是如何部署的

蜜罐通常部署在内网的各个区域，一般情况下，没有人会访问这些蜜罐，只有渗透到公司的黑客才能通过端口扫描等检测方式找到这些蜜罐，所以一旦蜜罐中出现警报，就需要特别注意。

推荐是一个不错的免费蜜罐。

03

网络漏洞扫描工具

漏洞评估通常分为白盒和黑盒，网络泄漏扫描是黑盒的一种，可以快速发现企业中IT资产的漏洞，让相关人员了解漏洞情况并进行整改，提高企业的整体安全能力。

常见的遗漏扫描工具是 AWVS、Goby。

04

安全事件管理系统 （SIEM）。

SIEM（和）安全事件管理是一种解决方案，可帮助组织在潜在安全威胁和漏洞有机会中断业务运营之前识别它们。

它可以发现异常的用户行为，并使用人工智能来自动化许多与威胁检测和事件响应相关的手动流程，并已成为现代安全运营中心 （SOC） 的主要内容，用于安全性和合规性管理用例。

SIEM 包括日志管理、关联事件分析、事件监控和安全警报、合规性管理和报告。前面提到的可以用作 SIEM 平台。

在下一期中，我们将介绍： 信息安全 - 终端安全，终端安全和网络安全是同一枚硬币的两面，即使网络安全好，也会因为终端安全差而达不到要求。

内容还可以吗？点击上方鼓励他们！

注：部分文字和图片来自网络，整理和分享文章的目的是为了更好地传达 IT 知识和经验。如果您的合法权益受到侵犯，请在后台留言。如果是这种情况，我们将尽快删除它并向您道歉。