本帖最后由 山东_朱文鑫 于 2022-10-17 14:04 编辑
大家好,我是大白,每个人都有属于自己的舞台,这个舞台,是那么光灿,美丽,生命从此辉煌无悔!只要坚韧不拔的走下去!优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
今天技术分享的是深信服综合网络部署方案分享【SIP、AC、WAF、STA、SIP、OSM、LAS、EDR】,客户主要有的网络安全建设、HCI超融合平台的搬迁。本方案中将对各个模块做详细的实施设计,实现安全设备的对接,以便对整个网络实现立体化安全防护。
用户项目需求:
1、AF做整个的出口链路的安全防护,wAf防护服务器区域。
2、SIP和STA探知整个网络中设备、PC、运行情况。
3、LAS做服务器和安全网络设备的日志审计。
4、堡垒机,实现设备的安全统一访问。
拓扑如下:
设备部署的作用:
安全感知平台 ----- 整个网络实时运行的网络安全态势分析平台 威胁潜伏探针 ----- HCI超融合服务器区域 终端检测响应平台 ----- 服务器安全防护软件 日志审计设备 ----- 做服务器及网络安全设备的日志审计 堡垒机 ------ 设备安全登录 防火墙 ------ 整个网络的安全防护 WAF ------ 服务器区域安全防护
SIP设备配置
确认需要镜像的区域,检测对应区域的数据安全情况,按照常规网络的划分分为用户区,服务器区。(如果镜像区域的流量不全,会导致检测的信息不全,达不到全网安全感知的效果)
在常规的网络中网络分为服务器区(DMZ区)和用户区(trust区),需要将服务器区<->互联网、用户区<->互联网、用户区<->服务器区的流量镜像到探针上。安全感知平台将探针分析的原始安全日志收集后做大数据分析。
* 在DMZ区有防火墙等安全设备的区域尽量协调镜像安全区域内的交换机,可以检测服务器区的横向攻击及感染的病毒情况。若在核心交换机上镜像,存在服务器区前端安全设备将服务器的异常外发数据拦截的情况,导致检测不到已经中病毒的主机。
一、安全感知平台配置:
登录设备后先添加客户分配的IP地址,配置接口:
配置默认路由使平台可以被探针访问或平台能上互联网:
配置受监控内部IP范围:【IP属于服务器网段则选择“服务器”,属于用户则选择“终端”,若不能确认所属网段为终端或服务器选择“未配置”】
二、业务配置.
将自动发现的服务器或手动新增的的服务器手动加入到对应的业务中。
业务配置对后续风险的呈现影响很大。请配置好每个业务系统的名称。
三、探针配置
管理口地址配置&旁路镜像接口配置
管理口地址用于管理探针也可使用管理口上传日志到安全感知平台:
定义内网的业务区域与PC区
配置完成后可以在内网服务器查看配置。
配置连接感知系统
若不清楚内网业务及内网PC范围,可以不配置【定义内网】。当配置了【定义内网】网段时只能识别到网段内的IP地址,若后续增加的网段则无法识别。
三、交换机的镜像配置
在交换机上配置需要镜像的流量到探针。
一、探针安全策略配置
设备上线后检查探针的安全策略,建议开启所有的安全策略
网站攻击检测策略中若客户业务使用的端口不是默认端口,则需要对策略进行修改。
二、特征库检查
探针的特征库通过SIP更新,需要先检查SIP的特征库情况。(查看当前版本是否与当前日期在一个月内)
若SIP能联网,将1小时检查一次库的更新情况。
若SIP不能联网,配置离线升级
探针检测特征库是否为最新。可点击“立即更新”
三、镜像检查
所镜像的流量必须为双向流量,不能为单向流量。
四、大屏配置
1、修改大屏位置
【监控中心】->【大屏可视】->【设置】
二、其他大屏配置
按需求进行配置修改。
第三方设备接入
确认平台授权情况
接入的第三方设备需要是标准的syslog。
若客户需要做第三方设备的syslog分析,需要推荐聚铭的日志分析系统。再将聚铭接入SIP
第三方系统Linux可以进行syslog配置接入,windows使用WMI接入SIP。
(※ 收集系统上执行的敏感操作,以防客户终端被黑后,日志被黑客删除后无法溯源的情况)
白名单配置
将代理服务器或设备加入到白名单中,包括但不限于DNS,负载均衡,以及存在主动发包的设备包括但不限于漏扫设备。
可通过全局白名单或失陷主机白名单进行添加。
区别
全局白名单——可以配置更具体的白名单策略,包括源目IP、域名/URL、日志类型、规则ID以及生效分支。源或目IP留空代表全部IP。配置策略后将不再记录对应的安全日志。
失陷主机白名单——将内网失陷主机加入到白名单,不再分析该IP的所有安全事件,但还记录安全日志。
运行测试阶段
SIP一般需要收集一周的日志,产品基于机器学习会将安全日志分析成为安全事件,在界面上展示出来。客户的业务系统设计不规范直接传递不安全语句容易导致客户的业务系统流量被识别为攻击流量。
实施过程中把中间出现的问题记录到《问题管理表》中,实施完成后,为确保设备运行正常,需根据《现场实施确认表》之设备健康检查表对设备进行进一步检查。
SIP上架一周左右,进行确定客户的需求是否都已经满意,再进行价值交付第四阶段的价值呈现工作。
安全感知平台只对内网安全问题做检测分析,并不能完成问题闭环,需要借助EDR或MDR对问题进行闭环。
EDR实施方案
客户有HCI的超融合,实施把OVA文件导入到超融合里面,配置ip地址,导入授权文件就可以。
打开【系统管理】->【授权管理】,鼠标移动服务器授权,查看是否拥有智防、智控、智响应、服务器防护四个模块。
客户端部署条件
(1)Agent 支持以下linux发行版和windos服务器的64位操作系统:
Centos 5\6\7
Redhat 5\6\7
Ubuntu 10\11\12\13\14
Debian 6\7
Windows 2008r2
Windows 2012
(2)一体机(应用和DB在一台服务器上)环境下,应用访问数据库必须是通过网络连接的,不支持通过socket方式。
(3)Agent使用TCP 4567端口与DAS设备进行通讯,网络中需要放通TCP 4567端口。
LAS实施步骤
ANGFOR-LAS日志审计系统功能介绍
SANGFOR-LAS日志审计系统专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析,是支持分布式、跨平台的统一智能化日志管理及审计设备,可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。
SANGFOR-LAS日志审计系统可以帮助企业管理员随时了解整个IT系统的运行情况,通过实时的日志分析及时发现系统异常和非法访问行为;另一方面,通过事后分析和丰富的报表系统,管理员方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,SANGFOR-LAS日志审计系统可以确保日志完整性和可用性,协助管理员进行故障快速定位,并提供客观依据进行追查和恢复。
因此,SANGFOR-LAS日志审计系统可以帮助用户有效降低IT系统的故障而带来的损失,降低IT系统的运维成本和管理的复杂度,显著提高系统整体的安全性、可靠性和运行效率,保证IT系统7X24的正常、持续、稳定运行,降低信息系统的整体安全风险。
SANGFOR-LAS系列硬件部署:
实施方案中设备采用单臂部署,windows服务器和Linux服务器通过agent的插件实现日志的传输,网络设备通过设置Syslog实现日志的传输。网络拓扑图如下:
日志采集配置
一、Windows日志收集配置
1.通过策略管理器(可运行命令:gpedit.msc),打开审核策略,如下图所示:
2.关闭Windows系统防火墙,如下图:
3.将 Evtsys工具放到C盘目录下
4.进入Evtsys目录,右击编辑Install_EvtSys脚本,将标红的IP改为日志审计系统IP,关闭保存
5.双击执行Install_EvtSys脚本,按任意键继续
安装成功,按任意键退出
6.在最新日志里可以windows事件日志
二、LINUX日志收集配置
配置通过syslog发送日志到SANGFOR日志审计系统,配置方法如下:
下图是一台linux配置发送debug日志到深信服日志审计系统。
配置成功可以看到采集到了Linux系统的日志
三、安全设备日志收集配置
1、日志中心配置
默认syslog采集过来的日志会统一放到*UNIX日志下,采集网络及安全设备日志需要通过配置syslog进行分类,放到网络及安全设备模块下
(1)点击数据采集-----syslog,点击添加
(2)属性选择网络及安全设备,类型选择深信服,日志源选择防火墙,编码选择UTF-8。
说明:如果不对编码进行配置那安全设备采集过来的日志内容中带有中文就会显示为乱码
2、深信服防火墙配置
(1)配置将AF通过syslog方式发送日志到SANGFOR日志审计系统
AF会把安全日志通过syslog发送到日志审计系统上
说明:各类设备的Syslog或者SNMP Trap配置方法可以参见日志接入指南文档
四、网络设备日志采集设置
1、日志中心配置
(1)点击数据采集-----syslog,点击添加
(2)属性选择网络及安全设备,类型选择迪普,日志源选择交换机,编码选择UTF-8。
2、华三交换机配置
H3C交换机的设置举例
1. 组网需求
将系统的日志信息发送到 linux 日志主机;
日志主机的IP 地址为1.2.0.1/16;
信息级别高于等于 informational 的日志信息将会发送到日志主机上;
日志信息的输出语言为英文,允许输出信息的模块为ARP 和 CMD。
2. 组网图
3. 配置步骤
(1) 设备上的配置。
# 开启信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 指定向日志主机输出日志信息的通道为 loghost 通道。
[Sysname] info-center loghost 1.2.0.1 channel loghost
# 关闭所有模块日志主机的 log、trap、debug 的状态。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
注意:
由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为loghost )上log、trap、debug 状态设为关闭,再根据当前的需求配置输出相应的系统信息。可以displaychannel 命令查看通道的状态。
# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机,设置信息级别为informational,输出语言为英文,允许输出信息的模块为所有模块。
[Sysname] info-center loghost 1.2.0.1 facility local7 language english
[Sysname] info-center source default channel loghost log level informational
SANGFOR-LAS系统上架配置
1.CONSOLE(控制)口 2. ETH0(业务口也可当管理口) 3.ETH1(默认流量监听口) 4.ETH2(备用管理口) 5.ETH3(可配置为监听口)6.ETH4(可配置为监听口) 7.ETH5(可配置为监听口)
出厂默认IP地址:
用户初次登录硬件管理配置菜单,登录链接为https:// 10.251.251.128,用户为admin,口令admin,登录界面如下: 二、网络配置用户初次登录硬件管理配置菜单,登录链接为https:// 10.251.251.128,用户为admin,口令admin,登录界面如下: 登录后进入管理配置界面:选择导航条上【系统配置】—>【系统管理】—>【网络设置】,:
1、数据概要---最新日志,可以看到当前所采集的日志类型,点击其中的某条日志可以看到具体的日志内容 2、通过高级检索,选择时间、日志类型,添加检索条件可以快速查看到所需要的日志内容
审计事后日志可以通过报表的方式进行展现,系统内置了一些满足合规性需求的报表,可以通过手动生成和自动生成的方式进行生成报表,生成的格式可以是HTML、CSV、PDF、XML,其中CSV、PDF、XML支持下载到本地查看 2、自动报表,在选择里的模板里选择计划任务,可以每天、每周、每月,定期去生成报表 通过计划任务生成的报表,在对应的日期上点击可以看到生成的报表内容 关于WAF作为WEB防护使用,使用旁路镜像的方式进行WEB防护使用,配置上相应的策略以及防护策略就可以正常使用,由于设备部署完成以后客户资产并没有完成资产的使用,所以OSM也就没有进行太多的配置你们可以参考我之前发过的OSM设备配置进行配置即可,所以这两个设备就不做太多的赘述了。 以上就是本次的深信服综合网络部署方案思路分享【SIP、AC、WAF、STA、SIP、OSM、LAS、EDR】,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家! 好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-17 00:15
技术研究员3级 
