互联网企业安全高级指南读书笔记(2)

本文探讨了网络安全防御策略,包括网络入侵检测系统的部署与使用,DDoS攻击的分类与防御措施,以及WAF的安全策略建设和性能优化等内容。

第一版读书笔记的内容太多,方式不行,严重影响看书效率,第二版 重新写。

第七章网络安全

网络入侵检测

传统NIDS

出口处部署,可以在1day披露的时候做虚拟补丁用

NIDS可以为字眼NIDS争取时间。

开源SNORT

全流量NIDS

IDC规模决定NIDS架构。

D还是P

对于门槛而言,发现远低于保护。

厂商而言

提供一个可以解决问题的平台,更重要的是能自定义规则,支持一种脚本语言,让甲方能够专注与自身核心业务安全。(所以甲方在选取供应商时应考虑此观点)

T级DDOS防御

DDOS分类

SYN-flood

ACK-flood

UDP-flood

ICMP-flood

应用层攻击

CC攻击(DNS-flood、慢连接攻击、DOS攻击)

攻击方式

混合型攻击(TCP-UDP混合,网络层-应用层混合)

反射型攻击(源地址设置为目标地址,向大量真实TCP服务器发送SYN包,TCP server收到后会返回SYN-ACK包给目标地址)

流量放大攻击

脉冲型攻击

链路泛洪攻击(国内ISP未开放anycast,攻击必要性有待观望)

多层防御结构

ISP/WAN层(近源清洗,黑洞路由)

CDN/Internet层(更改CNAME指向,等待DNS递归生效,cloudflare)

DC层(物理防御,华为AntiDDoS)

OS/APP层(相同IP+cookie+http头+request URL+阀值=阻断)

链路带宽

不同类型企业

大型平台公司

中小企业

不同类型服务

web(大型平台4层纵深防御,小型企业云清洗)

游戏类(DNS引流,ADS清洗)

服务策略

分级策略(资产重要性分级,防护分级)

Failover机制(异地灾备)

有损服务(遭受攻击时重要服务保持在线)

补充手段(业务合理性调整,对ddos目的的掌握)

NIPS场景

破坏和反制

黑洞路由的接口调用失败

云清洗服务商自身DNS解析失败

引流设备引向ADS引流失败或者ADS管理节点可用性问题

运维链路故障(APT攻击思路)

立案和追踪

链路劫持

HTTPDNS

域名解析走自己公司服务器,跳过DNS。但由于起请求问明文,仍可劫持。有加密DNS请求方案,DNS over TLS草案

全站HTTPS

TLS1.1/TLS1.2暂时没有爆已知安全问题

cloudflare的Flexible ssl:

                1.客户到CDN用https,回源http

                2.客户到CDN用https,回源https,但是不强校验ssl证书

                3.客户到CDN用https,回源https,且强校验ssl证书

登陆过程加密

各种加密算法

跨IDC传输加密

应用防火墙WAF

WAF架构分类

cname部署

创宇盾

moudle部署

ModSecurity(适用HTTPS,开发运营成本高-有一定开发运营能力的业务规模小的公司)

网络层部署

网络入口部署(HTTPS无能为力)

混合型WAF架构

WAF安全策略建设

主流web漏洞检测规则

owasp测试指南

awvs/appscan

bWAPP

最新高危漏洞检测规则

靠安全团队自身提取规则,为业务争取时间

业务风险检测规则

已知业务漏洞封堵,高危异常监控

WAF性能优化

架构优化

资源

业务性能

规则优化

避免出现类似modsecrity规则DOS的出现

算法优化(放弃无风险静态请求,优先匹配关键字符,按header定义匹配条件,仅需字符串匹配的零规则,不走正则引擎)

正则优化(RE2正则引擎,如果会碰到二进制数据流则配置PCRE引擎)



互联网企业安全建设思路 互联网企业安全高级指南 互联网企业安全建设落地实践 互联网企业落地等保2.0实践分享 工业互联网安全战略落地与推进建议 工业互联网安全实践与趋势分析 工业互联网时代的安全挑战与对策 从大型互联网企业零信任实践之路谈如何构建立体化的防御体系 等保2.0体系互联网合规实践白皮书 工业互联网体系架构 电信和互联网行业数据安全治理白皮书 电信和互联网大数据安全管控分类分级实施指南 传统型互联网公司在零信任建设上的思考 工业互联网的安全实践 数据驱动的工业互联网自适应防护框架 互联网网关最佳实践安全策略 工业互联网安全战略落地与推进建议 工业互联网安全架构白皮书 工业互联网企业网络安全分类分级指南 传统金融业务与互联网金融并存模式下的数据安全设计 电子认证在互联网司法服务中的作用 工业互联网数据安全白皮书 互联网医院平台化运营探索与实践 混合云下的DevOps在vivo互联网的探索落地 工业互联网及其驱动的制造业数字化转型 面向能源互联网的数据安全防护策略与创新技术思考 大型互联网平台SDL实践:业务风险深度评估 “互联网+”时代的 数据安全 互联网个人信息安全保护指南 移动互联网应用(App)收集个人信息基本规范 移动互联网医疗安全风控白皮书 “互联网+行业”个人信息保护研究报告 如何构建企业自身的工业互联网安全可视化体系 筑牢新基建时代工业互联网安全防线 工业互联网主要解决三大问题 构建可视、可管、可控的互联网 互联网行业高弹性系统构建最佳实践 下一代互联网安全解决方案 筑牢下一代互联网安全防线-IPV6网络安全白皮书 社区电商互联网甲方安全体系 威胁情报在互联网行业的应用 新一代工业互联网发展模式与成功实践:数据驱动的新价值网络 智能安全从边缘开始 保护企业免受互联网威胁的全新模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值