第一版讀書筆記的內容太多,方式不行,嚴重影響看書效率,第二版 重新寫。
第七章網路安全
網路入侵檢測
傳統nids
出口處部署,可以在1day披露的時候做虛擬補丁用
nids可以為字眼nids爭取時間。
開源snort
全流量nids
idc規模決定nids架構。
d還是p
對於門檻而言,發現遠低於保護。
廠商而言
提供乙個可以解決問題的平台,更重要的是能自定義規則,支援一種指令碼語言,讓甲方能夠專注與自身核心業務安全。(所以甲方在選取**商時應考慮此觀點)
t級ddos防禦
ddos分類
syn-flood
ack-flood
udp-flood
icmp-flood
應用層攻擊
cc攻擊(dns-flood、慢連線攻擊、dos攻擊)
攻擊方式
混合型攻擊(tcp-udp混合,網路層-應用層混合)
反射型攻擊(源位址設定為目標位址,向大量真實tcp伺服器傳送syn包,tcp server收到後會返回syn-ack包給目標位址)
流量放大攻擊
脈衝型攻擊
鏈路泛洪攻擊(國內isp未開放anycast,攻擊必要性有待觀望)
多層防禦結構
isp/wan層(近源清洗,黑洞路由)
cdn/internet層(更改cname指向,等待dns遞迴生效,cloudflare)
dc層(物理防禦,華為antiddos)
鏈路頻寬
不同型別企業
大型平台公司
中小企業
不同型別服務
web(大型平台4層縱深防禦,小型企業雲清洗)
遊戲類(dns引流,ads清洗)
服務策略
分級策略(資產重要性分級,防護分級)
failover機制(異地災備)
補充手段(業務合理性調整,對ddos目的的掌握)
nips場景
破壞和反制
黑洞路由的介面呼叫失敗
雲清洗服務商自身dns解析失敗
引流裝置引向ads引流失敗或者ads管理節點可用性問題
運維鏈路故障(apt攻擊思路)
立案和追蹤
鏈路劫持
網域名稱解析走自己公司伺服器,跳過dns。但由於起請求問明文,仍可劫持。有加密dns請求方案,dns over tls草案
全站https
tls1.1/tls1.2暫時沒有爆已知安全問題
cloudflare的flexible ssl:
1.客戶到cdn用https,回源http
2.客戶到cdn用https,回源https,但是不強校驗ssl證書
3.客戶到cdn用https,回源https,且強校驗ssl證書
登陸過程加密
各種加密演算法
跨idc傳輸加密
應用防火牆waf
waf架構分類
cname部署
創宇盾moudle部署
modsecurity(適用https,開發運營成本高-有一定開發運營能力的業務規模小的公司)
網路層部署
網路入口部署(https無能為力)
混合型waf架構
waf安全策略建設
主流web漏洞檢測規則
owasp測試指南
最新高危漏洞檢測規則
靠安全團隊自身提取規則,為業務爭取時間
業務風險檢測規則
已知業務漏洞封堵,高危異常監控
waf效能優化
架構優化
資源業務效能
規則優化
避免出現類似modsecrity規則dos的出現
演算法優化(放棄無風險靜態請求,優先匹配關鍵字元,按header定義匹配條件,僅需字串匹配的零規則,不走正則引擎)
正則優化(re2正則引擎,如果會碰到二進位制資料流則配置pcre引擎)
網際網路企業安全高階指南讀書筆記(3)
第八章 入侵感知體系 主機入侵檢測 1.開源 ossec mig 救火利器 osquery 有一定idc規模,有一定安全開發能力,對入侵檢測有基於大資料理解的公司 2.自研 架構設計 行業法規需求 基礎安全需求 企業自身的特殊安全風險需求 運維體系 網路環境適應 agent功能模組 基線安全 日誌採...
讀書筆記 《網際網路企業安全高階指南》1 5
這本書一上市就買了,但一直沒有系統的總結下其中的知識點。最近抽時間仔細讀並總結下。網際網路安全從業者最大的挑戰並非技術,而是如何建立正確的行業格局觀,並且能夠與業務團隊 安全團隊管理層 公司管理層簡歷良好的溝通機制,取得信任和支援。甲方做安全不是簡單的找漏洞修漏洞這麼簡單。趁週末有時間,以思維腦圖的...
網際網路企業安全高階指南1 1切入「企業安全」的視角
第1章 安全大環境與背景 如果從乙個很微觀的角度切入企業安全這個話題,那麼大多數人會像一葉孤舟跌進大海茫茫然找不到方向,所以本章從安全領域整體環境入手,以便於讀者找到系統性的那種感覺。儘管筆者沒有致力於提供關於企業安全的乙個非常完整的 上帝視角 但也盡可能地兼顧了這方面的需求。1.1 切入 企業安全...