第一版读书笔记的内容太多,方式不行,严重影响看书效率,第二版 重新写。
第七章网络安全
网络入侵检测
传统NIDS
出口处部署,可以在1day披露的时候做虚拟补丁用
NIDS可以为字眼NIDS争取时间。
开源SNORT
全流量NIDS
IDC规模决定NIDS架构。
D还是P
对于门槛而言,发现远低于保护。
厂商而言
提供一个可以解决问题的平台,更重要的是能自定义规则,支持一种脚本语言,让甲方能够专注与自身核心业务安全。(所以甲方在选取供应商时应考虑此观点)
T级DDOS防御
DDOS分类
SYN-flood
ACK-flood
UDP-flood
ICMP-flood
应用层攻击
CC攻击(DNS-flood、慢连接攻击、DOS攻击)
攻击方式
混合型攻击(TCP-UDP混合,网络层-应用层混合)
反射型攻击(源地址设置为目标地址,向大量真实TCP服务器发送SYN包,TCP server收到后会返回SYN-ACK包给目标地址)
流量放大攻击
脉冲型攻击
链路泛洪攻击(国内ISP未开放anycast,攻击必要性有待观望)
多层防御结构
ISP/WAN层(近源清洗,黑洞路由)
CDN/Internet层(更改CNAME指向,等待DNS递归生效,cloudflare)
DC层(物理防御,华为AntiDDoS)
OS/APP层(相同IP+cookie+http头+request URL+阀值=阻断)
链路带宽
不同类型企业
大型平台公司
中小企业
不同类型服务
web(大型平台4层纵深防御,小型企业云清洗)
游戏类(DNS引流,ADS清洗)
服务策略
分级策略(资产重要性分级,防护分级)
Failover机制(异地灾备)
有损服务(遭受攻击时重要服务保持在线)
补充手段(业务合理性调整,对ddos目的的掌握)
NIPS场景
破坏和反制
黑洞路由的接口调用失败
云清洗服务商自身DNS解析失败
引流设备引向ADS引流失败或者ADS管理节点可用性问题
运维链路故障(APT攻击思路)
立案和追踪
链路劫持
HTTPDNS
域名解析走自己公司服务器,跳过DNS。但由于起请求问明文,仍可劫持。有加密DNS请求方案,DNS over TLS草案
全站HTTPS
TLS1.1/TLS1.2暂时没有爆已知安全问题
cloudflare的Flexible ssl:
1.客户到CDN用https,回源http
2.客户到CDN用https,回源https,但是不强校验ssl证书
3.客户到CDN用https,回源https,且强校验ssl证书
登陆过程加密
各种加密算法
跨IDC传输加密
应用防火墙WAF
WAF架构分类
cname部署
创宇盾
moudle部署
ModSecurity(适用HTTPS,开发运营成本高-有一定开发运营能力的业务规模小的公司)
网络层部署
网络入口部署(HTTPS无能为力)
混合型WAF架构
WAF安全策略建设
主流web漏洞检测规则
owasp测试指南
awvs/appscan
bWAPP
最新高危漏洞检测规则
靠安全团队自身提取规则,为业务争取时间
业务风险检测规则
已知业务漏洞封堵,高危异常监控
WAF性能优化
架构优化
资源
业务性能
规则优化
避免出现类似modsecrity规则DOS的出现
算法优化(放弃无风险静态请求,优先匹配关键字符,按header定义匹配条件,仅需字符串匹配的零规则,不走正则引擎)
正则优化(RE2正则引擎,如果会碰到二进制数据流则配置PCRE引擎)