甲方安全防範

好了，言歸正傳了，沒錢還想搞安全，怎麼辦？用免費的代替唄。下面給大家說我的一下替代方案。

為啥放首位了，因為這款漏掃沒什麼好介紹的，強烈推薦；直接部署在網路當中，路由可達即可。與收費漏掃相比較，掃瞄結果略有不同，都能掃到對方掃不到的。所以，還是一款值得推薦的免費漏掃。

直接部署在網路當中，對客戶端路由可達，對於英語不好的同學可以使用瀏覽器外掛程式進行翻譯。當然，跟收費的ids根本沒法比了，無論是規則還是技術原理。收費的ids抓取更全面，部署更便捷，規則更完善。

優點：免費；開源；服務端部署容易。

缺點：傳統的ids大部分是抓取映象流量，可做到全面分析，而ossim需要對客戶端進行分別部署，但由於每台機器key不一樣，即使使用自動化運維工具也挺麻煩的（ps：你們都上自動化運維了，就別用這個東西了）；還有就是自帶的規則十分辣雞；

與收費的相比，沒有對windows和資料庫的安全審計。如果貴單位用的都是linux，沒問題，完全夠用。

優點：免費，開源，輕量級

缺點：不支援windows的安全審計及資料庫的安全審計。

只能做內網當中不同密級的兩張網路，無法完全代替。兩張網路中的核心路由進行直連，分別對其連線的裝置做路由指向和nat轉換。整套方案無法替代網閘，混檢查倒是可以。

使用背景：

網路1與網際網路進行連線，伺服器1需要與伺服器a進行資料傳輸，為了確保網路a的安全，不允許伺服器1與伺服器a直接進行資料傳輸。

邏輯步驟：

（1）核心路由a配置nat轉換，將1.1.1.100轉至172.16.1.100，同時做埠訪問限制及其他網路安全策略

（2）核心路由1配置路由指向，將1.1.1.100位址指向至核心路由a

（3）伺服器1訪問1.1.1.100

（4）伺服器a將接收來自伺服器1的資料

配置目的：

（1）由於兩邊無法直接獲取對面的路由表，黑客無法探測網路a的資產情況；

（2）即使伺服器1被網路攻破，也無法得知網路a情況；

（3）即使位址ip1.1.1.100被發現，也由於埠訪問限制，大部分攻擊手段將無法實施；

（4）即使通過放行埠入侵至伺服器a，也由於無法得知反向ip，少部分攻擊手段將無法實施；

（5）當然，不可能盡善盡美。

優點：成本低，無法直接獲取對端路由表，做到了網閘最基本的功能。

缺點：無法完全取代，無法判斷接收的資料是否合規。

一款不錯的**質量管理工具，免費的。我們公司現在就在用，雖然大家只是當做側面輔助，但聊勝於無。

相對來講，這款分析工具的ui我十分喜歡，但分析存在誤報及漏報。還需要結合人工來進行審計。

logstash是乙個完全開源的工具，他可以對你的日誌進行收集、分析，並將其儲存供以後使用，您可以使用它。說到搜尋，logstash帶有乙個web介面，搜尋和展示所有日誌。kibana 也是乙個開源和免費的工具，他可以幫助您彙總、分析和搜尋重要資料日誌並提供友好的web介面。他可以為 logstash 提供的日誌分析的 web 介面

如果不想費勁的搭建kibana和logstash（例如說我），那麼編寫個小指令碼，自動壓縮目錄檔案並上傳至ftp伺服器，做個備份收集即可。

部署在辦公網路最外層，可當防火牆也可當路由，還具有上網行為管理的功能，還能做acl控制。買台伺服器，配個雙網絡卡，簡單部署後就能用了。

優點：免費，功能挺多的，基本滿足中小型企業辦公需求；

缺點：大流量估計正面剛不住，公司對外的業務還是不要用了。另據小道訊息，可能會未經使用者允許上傳資料（不知道真假，對此話本人不負責）。

部署在小區域網內，純粹為了混檢查。

優點：免費

缺點：只能針對小範圍管理，治標不治本，混下檢查還可以，其餘就算了。

還需要介紹嗎？

去給你的領導和同事們**去吧。

可以看出，收費之所以是收費的，還是十分有道理的。當然不是說免費的就不好。例如nessus，我個人覺得這個漏掃就不錯。如果貴單位用的是linux，jumpserver也非常實用。如果資金確實緊張，360星圖，sonar也可以上。但其他的，真的就是見仁見智了。

甲方安全防範

PHP安全防範

web層安全防範

RouterOS 安全防範設定

甲方安全防範

PHP安全防範

web層安全防範

RouterOS 安全防範設定

相關推薦