2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇(2)
author:leadlife
time:2022/3/11
知识星球:LeadlifeSec
技术交流群:775454947
文章目录
在我们的 《2021-技能大赛-信息安全管理与评估-DCN 设备总结 (上)-任务二-设备安全配置篇(1)》篇,我们已经完成了 FW(防火墙) 和 RS(核心三层路由器) 的安全配置,下面让我带领大家进入 NetLog (日志服务器) 以及 WAF (网站应用防火墙) 的安全配置中,享受题目给大家带来的知识点以及安全设备的魅力
NetLog 时间表注意点参考
有关时间段配置参考说明:
| 参数 | 说明 |
|---|---|
| 周期时间 | 表示循环往复按周期生效的策略时间 |
| 工作日 | 配置范围从【周日】到【周六】,点击【全选】将全部选中。 |
| 时段 | 一个时间策略中每项最大可以设置四个具体时段。 时段格式为:小时:分钟,例如:15:59 表示 15 时 59 分。 时段具体设置要求: 时段开始时间不能大于等于终止时间,至少要相差 1 分种。 每项中的四个时段,不能有交集。 例如:时段一:12:00-15:00 时段二:13:00-14:00,时段一与 时段二存在交集,不符合时间段策略配置要求。 |
| 时间列表 | 记录当前时间列表信息; 每项时段要求必须符合如上【时段】设置具体要求; 在同一个时间策略中,位于时间列表中的每项中工作日(周日到 周六)不能有重叠。 例如: 第一项:周日,周三 00:00-01:00 第二项,周二,周三 02:00-03:00 在这两项中【周三】出现重复设置,尽管他们时段没有重复,但 是依然造成冲突。 只需修改成: 第一项:周日 00:00-01:00 第二项:周二 02:00-03:00 第三项:周三 00:00-01:00,02:00-03:00 即可消除这样的重叠冲突 |
NetLog 时间表注意点参考
有关时间段配置参考说明:
| 参数 | 说明 |
|---|---|
| 周期时间 | 表示循环往复按周期生效的策略时间 |
| 工作日 | 配置范围从【周日】到【周六】,点击【全选】将全部选中。 |
| 时段 | 一个时间策略中每项最大可以设置四个具体时段。 时段格式为:小时:分钟,例如:15:59 表示 15 时 59 分。 时段具体设置要求: 时段开始时间不能大于等于终止时间,至少要相差 1 分种。 每项中的四个时段,不能有交集。 例如:时段一:12:00-15:00 时段二:13:00-14:00,时段一与 时段二存在交集,不符合时间段策略配置要求。 |
| 时间列表 | 记录当前时间列表信息; 每项时段要求必须符合如上【时段】设置具体要求; 在同一个时间策略中,位于时间列表中的每项中工作日(周日到 周六)不能有重叠。 例如: 第一项:周日,周三 00:00-01:00 第二项,周二,周三 02:00-03:00 在这两项中【周三】出现重复设置,尽管他们时段没有重复,但 是依然造成冲突。 只需修改成: 第一项:周日 00:00-01:00 第二项:周二 02:00-03:00 第三项:周三 00:00-01:00,02:00-03:00 即可消除这样的重叠冲突 |
NetLog 部署方式-邮件告警-SNMPv3-NTP服务器
类似题型
在公司总部的NETLOG上配置,设备部署方式为旁路模式,并配置监控接口与管理接口。增加非admin账户NETLOG2024,密码NETLOG2024,该账户仅用于用户查询设备的日志信息和统计信息。使NETLOG能够通过邮件方式发送告警信息,邮件服务器在服务器区,IP地址是172.16.10.200,端口号25,账号test,密码test;NETLOG上配置SNMPv3,用户名admin,MD5秘钥adminABC,配置日志服务器与NTP服务器,两台服务器地址:172.16.10.200;
注意点
- 部署方式有一个点,并非一定要操作初装向导来改变部署方式
- 在添加管理员用户 NETLOG2024 时需要建立一个相关用户的管理员组
NETLOG
操作
操作部署方式
系统管理 → 基本管理 → 基本信息 → 部署方式
操作监控接口
网络配置 → 网络接入 → 以太网卡
操作管理接口
系统管理 → 基本信息 → 管理端口
添加用户-先添加相应管理员组
系统管理 → 权限管理 → 管理员组
系统管理 → 权限管理 → 管理员
配置角色组
系统管理 → 权限管理 → 角色管理
配置该账户权限
系统管理 → 权限管理 → 权限分配
操作邮件警告
策略管理 → 报警策略 → 邮件管理
操作 SNMPv3
系统管理 → 基本信息 → 远程管理
添加 NTP 服务器
系统管理 → 基本信息 → NTP 配置
NetLog 监控 URL 记录-HTTP访问记录-网段聊天记录-邮件收发记录
涉及题型
在公司总部的NETLOG上配置,监控工作日(每周一到周五)期间PC1网段访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警。监控PC2网段所在网段用户的即时聊天记录。监控内网所有用户的邮件收发访问记录。
注意点
- 题目中要操作一个邮件发送警告
操作
配置时间表
策略管理 → 时间策略
操作监控 HTTP
应用管理 → 应用规则 → 规则配置
操作监控聊天
操作监控所有内网邮件收发记录
最后应有如下三条监控操作
NetLog 配置应用及其应用组
涉及题型
NETLOG 配置应用及应用组“P2P视频下载”,UDP协议端口号范围65551-65651,在周一至周五8:00-20:00监控内网中所有用户的“P2P视频下载”访问记录;
注意点
- 需要注意到题目中还有时间点所以我们需要再创建一个时间表
操作
操作策略管理 P2P
策略管理 → 应用管理 → 应用组
操作时间表以监控内网
策略管理 → 时间策略
应用管理 → 应用规则 → 规则配置
Netlog ARP 数量统计-身份识别
涉及题型
NETLOG配置对内网ARP数量进行统计,要求30分钟为一个周期;NETLOG配置开启用户识别功能,对内网所有MAC地址进行身份识别;
操作
ARP 数量统计-操作周期
策略管理 → ARP 策略
操作身份识别
NetLog 报表定制
涉及题型
NETLOG配置统计出用户请求站点最多前20排名信息,发送到邮箱为bn2024@chinaskills.com
操作
WAF 配置与接入
涉及题型
公司内部有一台网站服务器直连到WAF,地址是RS上VLAN10网段内的第五个可用地址,端口是8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器, IP地址是服务器区内第六个可用地址,UDP的514端口;
注意点
可能一些同学和我一样,刚见到这题,都不知道这题目在说些什么,那么这里我带着大家一起分析一下
- 地址为 RS 上 VLAN 10 网段内的第五个可用地址:172.16.10.5
- 题目中表示
公司内部有一台网站服务器直连到WAF:操作 WAF 中的服务-服务管理来管理服务器 - 又表示需要将日志发送给服务器区内第六个可用地址:172.16.10.6
这样我们再继续解题
操作
WAF 介入服务器操作服务管理
服务 → 服务管理
WAF 接入服务器操作日志管理
配置 → 日志配置
WAF 基本防护控制
涉及题型
在公司总部的WAF上配置,阻止常见的WEB攻击数据包访问到公司内网服务器,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。
注意点
- 操作基本防护,阻止常见 Web 攻击
- 防止 CC 攻击,开启流量过大访问防护
操作
策略 → 基本攻击防护
策略 → 暴力浏览防护
WAF 限定请求阈值避免 DDOS 与 缓冲区溢出
涉及题目
大量请求的确认值是:10秒钟超过3000次请求;编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻击;
注意点
- 这里与 WAF 基本防护配置有点相似
- 不过需要注意 WAF 有关 HTTP 类似的配置均属于协议配置
操作
限定请求阈值
策略 → 暴力浏览防护
限定 HTTP 请求数据最大长度
策略 → 协议规范检测
记得比赛的截图要勾选开启
WAF 爬虫防护-文件上传策略-编辑防护策略-禁止访问特殊文件
WAF上配置开启爬虫防护功能,当爬虫标识为360Spider,自动阻止该行为;WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上配置编辑防护策略,要求客户机访问内部网站时,禁止访问*.bat的文件;
这题没啥注意点,纯粹操作
操作
标识爬虫
对象库 → 爬虫标识组
先添加 360Spider 的爬虫标识再操作爬虫标识组
爬虫防护
策略 → 爬虫防护
特殊文件格式上传阻止
策略 → 输入参数验证
禁止访问特殊文件
策略 → 黑白名单
WAF 漏洞扫描功能
WAF上配置,使用WAF的漏洞立即扫描功能检测服务器(172.16.10.100)的安全漏洞情况,要求包括信息泄露、SQL注入、跨站脚本编制;
操作
漏扫 → 配置
WAF 邮件-短信上报威胁情报
涉及题型
在公司总部的WAF上配置, WAF设备的内存使用率超过50%每隔5分钟发送邮件和短信给管理,邮箱bn2024@digitalchina.com,手机13912345678;
在公司总部的WAF上配置,将设备状态告警、服务状态告警信息通过邮件(发送到bn2024@digitalchina.com)及短信方式(发送到13812345678)发送给管理员;
操作
配置 → 告警配置
End
第三篇我们将进入到 WS (无线 AC) 与 无线 AP 的配置中~