一、网络分段
1.1 多网卡安全网关连接并隔离内网
- 可以做细粒度的ACL,符合最小特权原则
- 可以做全部内网流量的日志记录
- 可以划分VLAN,单臂路由
- 基于VLAN的双机热备,替换核心交换机
- 可多路并行透明接入,在边界路由器和交换机之间,不需要改现有网络配置
- 透明网桥接入时,有bypass功能,需要时开,不需要时关,不需要拔网线
1.2 交换机划分VLAN
- 缺点1:无法做细粒度ACL,445端口要么全部放行,要么全部阻拦(影响网络打印机)
- 缺点2:无法做全部流量的日志记录
二、在线主机+会话状态
2.1 发现异常流量(威胁猎杀),一般是PC后台进程发包:找到可疑源IP所在PC,杀病毒,封USB
- 上传流量:扫描
- 持续流量:后门
三、实时监控
3.1 发现具体流量特征:找到可疑源IP所在PC,杀病毒,封USB
- 目的地址随机,目的端口445/TCP
- 目的地址第三位顺序增长,目的端口445/TCP
四、会话控制
- 按照流量性质分类控制每用户每应用的并发会话数:DNS:50,WEB:300,TCP:50,UDP:50,...
- 定义工作流量,优先级别最高,非工作流量无需保证QoS
- 不需要7层特征识别,性能好,好维护,没有误杀
五、包过滤日志
- 完整的收发数据包记录,全部IP、TCP、UDP、ICMP层信息,及部分内容信息
- 内置存储,按天数、压缩保存,可以下载解压,并用专门的软件查看搜索
六、Netflow网络流量监控
- 网关处会话结束后生成Netflow记录,数据小,性能好
- 专用日志服务器接收留存Netflow记录,方便查询,不影响网关工作
七、网络审计
- ARP、DNS、WEB、WEBPOST、TELNET、POP3、SMTP、QQ等
- 基于会话的在线式旁路监听,不参与转发,性能好
- 日志留存:找到可疑源IP所在PC,杀病毒,封USB
八、DNS日志审计
- 发现木马后门CC控制服务器域名:找到可疑源IP所在PC,杀病毒,封USB
九、DNS过滤
- 大规模域名库:广告、病毒、黑客
- 自定义域名解析
- 日志留存:找到可疑源IP所在PC,杀病毒,封USB
十、WEB协议过滤
10.1 透明接入过滤HTTP及HTTPS流量
- 后缀名过滤:防止下载.exe等可能是免杀的木马后门病毒文件
- MIME类型:阻拦application/octet-stream类型的文件下载,即使其后缀名是.jpg
- 目的端口过滤
- 域名过滤
- URL过滤
- CONNECT、POST等方法过滤:防止用户或中毒PC外发信息
10.2 日志留存:找到可疑源IP所在PC,杀病毒,封USB
十一、WEB内容过滤
11.1 页面关键词过滤
- 解gz压缩网页,旁路监听的不行
- 不同encode的关键词过滤,不需要网址库:UTF-8、GB2312、BIG5、日本、韩国、朝鲜文字
- 防病毒过滤:800万特征库、实时在线更新
- 缺点:硬件要求高,会增加延时
十二、Email内容过滤
12.1 POP3、SMTP内容过滤
- 删除附件:钓鱼邮件附件可能是免杀的木马后门病毒文件
- 防病毒过滤
- 防垃圾邮件过滤
- 日志留存:找到可疑源IP所在PC,杀病毒,封USB
- 缺点:硬件要求高,会增加延时
十三、IDS/IPS入侵检测与防御
- 开启远程探测攻击、木马后门文件等特征检测:找到可疑源IP所在PC,杀病毒,封USB
- 获取最新特征签名,防御0day攻击
十四、WebDAV文件共享
- 替换微软netbios网络共享
- 和微软网络共享一样的挂载使用体验
- 可以在内网及互联网上远程使用,不会被ISP过滤阻拦
- 基于HTTPS协议
- 真实域名CA证书
- 自签名CA证书
- 非Windows系统的单独的用户认证
- 基于用户角色的读写删权限
- 详细的读写删日志记录
参考: