중소 기업 네트워크 보안 공사에 대 한 지침입니다.
"이론"
교육 사이트 말했듯이 엔터프라이즈의 네트워크 보안 시스템은, 할 수 있습니다 모든 측면은 큰 프로젝트, 네트워크 보안의 지점에만 구축, 현재 주요 모순 (즉, "hemostasis", 위험의 대부분을 제어 하는 주요 위치에)을 해결 하기 위해 초기에 그렇게 오랜 시간을 필요로 하는 경우에 우리의 과거의 경험을 바탕으로, 우리는 것이 좋습니다 다음 주요 위치에서 장악 승수 효과와 결과 얻을 수 있습니다.
1 포트 제어 합니다. 모든 서버 비즈니스 포트 모두 관리 포트 내부 요새 컴퓨터 액세스를 통해서만 인터넷에 폐쇄, 엄격 하 게 할 IP (또는 계정) 허용 된 액세스 제어 포트를 열고 인터넷에 (웹 계층에 대 한 더 안전한 접근은 텍스트 메시지 또는 마이크로-편지 두 인증 등의 레이어를 추가 OTP 또는 u2f를 참조). 잘 하 고, 주요 해커와 인터넷, 최근 만연 mangodb 및 Elasticsearch 갈 취 등에서 벌레의 공격을 피할 수;에 대 한 지침은 네트워크 보안 건설 중소 기업
"이론"
교육 사이트 말했듯이 엔터프라이즈의 네트워크 보안 시스템은, 할 수 있습니다 모든 측면은 큰 프로젝트, 네트워크 보안의 지점에만 구축, 현재 주요 모순 (즉, "hemostasis", 위험의 대부분을 제어 하는 주요 위치에)을 해결 하기 위해 초기에 그렇게 오랜 시간을 필요로 하는 경우에 우리의 과거의 경험을 바탕으로, 우리는 것이 좋습니다 다음 주요 위치에서 장악 승수 효과와 결과 얻을 수 있습니다.
1 포트 제어 합니다. 모든 서버 비즈니스 포트 모두 관리 포트 내부 요새 컴퓨터 액세스를 통해서만 인터넷에 폐쇄, 엄격 하 게 할 IP (또는 계정) 허용 된 액세스 제어 포트를 열고 인터넷에 (웹 계층에 대 한 더 안전한 접근은 텍스트 메시지 또는 마이크로-편지 두 인증 등의 레이어를 추가 OTP 또는 u2f를 참조). 잘 하 고, 그것은 기본 해커와 Elasticsearch 강탈 이벤트; 최근 만연 Mangodb 같은 인터넷에서 벌레에 의해 공격을 피할 수
2) 고립 지구. 공통 영역 및 위험 영역 네트워크 격리 또는 보안 상황 복잡 한 사무실 환경과 생산 환경 고립 등 DMZ 버퍼와 2 사이 생산 환경 내부 핵심 기계 및 일반 기계 분리. 만약 해커 공통 영역 침범, 우리 또한 기회가 중요 한 자산;의 손실을 방지 하기 위해
3) 통합된 아키텍처입니다. 통합된 연구 및 개발 및 운영 프레임 워크 (또한 개발 관리 및 운영 지원)를 사용 하 여 Microsoft에 의해 제안 된 SDL (보안 개발 수명 주기, 보안 개발 수명 주기)를 참조 하십시오 및 조인 보안 프레임 워크의 요주의 경로에 검사. 허점만 할 사방, 하지만 한번에; 누수를 방지 하려면 프레임을 변경 하려면
4) 수출을 방지 하기 위해입니다. 비즈니스 게시 프로세스, 릴리스 프로세스 시작 하기 전에, 키 링크에 포함 된 보안 감사를 파견 하 고 거부권;의 투표에 대 한 취약성의 높은 위험을가지고
5) 보안 인터페이스입니다. 비즈니스 팀에서 보안 인터페이스 동지를 찾을 수, 그는 비즈니스 팀과 보안 팀 보안 작업;을 홍보할 수 있도록 도킹에 대 한 책임
6 최고 지원입니다. 이것은 많은 말을 하지 않는 결정적인 요소 이다.
로 위의 할 편지 기본적으로 90%의 알려진된 문제를 해결할 수, 공격자의 지점의 알려진된 범위,이 문서에 대 한 참조에 대 한 자세한 아이디어에에서 공격 제어를 강화 하는 것 이다. 그러나, 하 명심 하십시오 (네트워크에 많은 위험 계속 존재) 외부 직접적인 공격을 완화에 위의 조치 수 없습니다 나머지 쉬운, 모든 후, 만약 해커가 인트라넷으로 획기적인 포인트를 찾을 수 있습니다 수 여전히 수 행진 했다.
큰 표면 컨트롤 심층에서 방어 시스템을 구축, 괜 찮 작업의 지점에은. 자체 기업에 필요한 정보 보안의 수준에 따라 투자 자원의 엄청난 양의 있다. 응용 프로그램 계층에 하드웨어에서 안전 디자인 아이디어와 관행, 구글의 기본 디자인의 전반적인 정교에 인프라 안전 설계 개요 (Google 인프라 보안 디자인 개요)의 Google의 최근 릴리스 일 보호, 심층, 방어 계층 거의 최고의 엔터프라이즈 보안 뿐만 아니라 (우리는 구글의 기본 보안의 또 다른 문서 심층 분석에 있을 것입니다) 우리의 학습의 모델을 얻을.
"도구 조각"
"工欲善其事의 필수 조건", 인력을 저장 하 고 효율성을 향상 시킬 수 있도록 도구가 있습니다. 다행히 인터넷은 오픈, 많은 좋은 보안 도구는 무료 이며 심지어 오픈 소스, 여기 주로 일반적인 무료 보안 도구/온라인 서비스, 모두가 도움이 희망의 일부를 구성 하는. 도구 중 일부는 몇 년-오래 된, 하지만 쓸모 없습니다.
[프로브 스캔]
Nmap (https://nmap.org/), 뿐만 아니라 포트 스캐너, 지원 특히 오늘날의 인터넷 환경 특히 유용, 취약점 스캔, 긴급 보안 취약점에 달성 하기 위해 스크립트의 다양 한 결합에 대 한 다양 한 네트워크 장치, 감지 편리 하 고 효율적인 취약점의 범위를 평가 하기 위해 사용할 수 있습니다.
Masscan (Https://github.com/robertdavidgraham/masscan), Nmap, 하지만 비록 거기에 아무 nmap 강력한, 하지만 빠른, "인터넷의 빠른 IP 포트 스캐너."로 알려진 더 많은 포트 스캔에 초점 기능 비슷합니다
[무작위]
히드라 (https://www.thc.org/thc-hydra/), 네트워크 계정 크래킹 도구, 많은 프로토콜을 지원, 좋은 기업 (물론 생각 하지 않습니다 당신의 포트는 인터넷에 열려 있어야 하지만 항상 예외가 있다) 도구를 테스트 하는 약한 암호에 사용할 수 있습니다.
존 리 퍼 (http://www.openwall.com/john/), 오픈 소스 무료 크로스 플랫폼 무력 크래킹 도구, MD5, DES, 유닉스/리눅스 시스템 로그인 약한 암호 검색을 자주 사용 하는 등, 여러 암호화 알고리즘을 지원 합니다.
[웹 취약점 탐지]
Awvs Acunetix 웹 취약점 스캐너 (http://www.acunetix.com/vulnerability-scanner/), 유명한 상용 웹 취약점 스캐너 취약점 검색 및 활용 도구의 다양 한 통합, 다양 한 웹 취약점 스캔의 주류 웹 제품 역사의 일부를 지원, 강한 종합 스캐너, 첫 번째 선택으로 사용할 수 있습니다. Tencent의 웹 취약점 스캐너 또한 경쟁 항목 중 하나를 걸립니다.
Awvs, 함께 한다 (Http://www-03.ibm.com/software/products/en/appscan-standard), IBM 제작 웹 취약점 스캐너 Tencent 입찰에 대 한 웹 취약점 스캐너를 개발 했습니다.
Bugscan (https://old.bugscan.net), 클로버에 의해 안전 하 게 생산 되는 파이썬 기반 웹 취약점 스캐너. 밝은 반점은 커뮤니티를 기반으로 스캐너, 모두 플러그 인을 작성할 수 있습니다 그래서 플러그인 포괄적인 신속 하 게 업데이트.
Sqlmap (http://sqlmap.org/), 파이썬 오픈 소스 SQL 주입 도구에 따라은 매우 강력 하 고, SQL 주입 누설 침투 테스트에서 자주 사용 한다, 많은 공급 업체 두 개발 할 기반, GUI 인터페이스, 주요 수동 일괄 검색 및 기타 기능을 증가. 주입을 위해 WAF 보호를 우회 하는 자주 이며 확장성 또한 사용자 지정 스크립팅을 지원 합니다.
트림 스위트 (https://portswigger.net/burp/), 유명한 웹 보안 도구, 테스트 에이전트 Http/https 잡아 패키지 수, 편리한 분석 및 재생 요청 패키지, 일부 보안 플러그인과 결합 수 있습니다 쉽게 마이닝 웹 취약점.
JSky의 사용 하기 쉬운 웹 응용 프로그램 보안 검색 도구, 국내 해커 Zwell 생산
Safe3 웹 Vul 스캐너, 또 다른 국내 해커 SAFE3 웹 취약점 탐지 도구.
Wpscan (https://wpscan.org/), 특히 워드 프레스 프로그램 취약점 검색 도구에 대 한. 워드 프레스 블로그 시스템의 PHP 개발 하지만 특별 한 취약점 검색 도구... 특별 한 이유가 아니라 제 3 자 오픈 소스 웹 프로그램을 사용 하 여 보여주는이 (알 수 없습니다 올해의 ASP 포럼 동적 네트워크의 분노는 여전히 부재).
입술 (http://rips-scanner.sourceforge.net/), 오픈 소스 PHP 코드 코드 수준에서 일반적인 웹 취약점을 탐지 하는 도구, 감사 하지만 수동으로 확인 결과 확인 하는 데 필요한, 특정 가양성 더 나은 웹 보안 연구 경험 PHP 개발자에 적합합니다.
[웹 방화벽]
Modsecurity (http://www.modsecurity.org/), 소스 호스트 웹 응용 프로그램 방화벽, 아파치, Nginx, IIS 및 다른 웹 서버 지원
연구 하 고 경험 하는 WAF의 기본 참조.
추앙 유 쉴드 (https://www.yunaq.com/cyd/), 온라인 웹 보호 서비스의 생성, DNS 가리킨 원칙, 보호 하기 위해 작은 사용자 또는 충분히에 대 한 일반적인 공격의 무료 버전을 청소 하는 클라우드 서비스 이다.
Aliyun 쉴드 (HTTPS://CN.ALIYUN.COM/PRODUCT/WAF), Aliyun 웹 응용 프로그램 방화벽 제공, 유료 서비스입니다.
Tencent 클라우드 WAF (https://www.qcloud.com/document/product/296/2227), 웹 응용 프로그램 방화벽 Tencent 클라우드 제공, 웹 취약점 보호 및 가상 패치 지원, Tencent 클라우드 호스트의 구입에서 직접 사용할 수 있습니다.
[클라이언트 보안 검색]
Tencent 킹 콩 (Http://service.security.tencent.com/kingkong), Tencent 보안 플랫폼을 위한 무료 다이아몬드 시스템의 내부 사용에서 파생 된 터미널 보안 감사 서비스, 초기 공개 안 드 로이드에 속하는 응용 프로그램 취약점 탐지 시스템입니다.
알리 폴 리 보안 (http://jaq.alibaba.com/), 알리 보안 모바일 애플 리 케이 션 온라인 감사 시스템 개발, 안 드 로이드/ios 지원, 충전 프로젝트에 속한다.
360 디스플레이 위기 미러 (http://appscan.360.cn), 360 정보 보안 개발 스캐닝 시스템, 온라인 안전 위험 안 드 로이드 애플 리 케이 션의 무료 서비스.
Afl-퍼지 (http://lcamtuf.coredump.cx/afl/), 잘 알려진 오픈 소스 퍼저 Google에 의해 개발 된 오픈 소스 프로젝트를 위해 특히 좋은 이며 주요 소프트웨어 취약점의 수백을 발견 했다 실행 경로 및 퍼지 피드백 기반 자동으로 볼 수 있는 능력 구멍 파고 세계에서 별 이다.
(현재 모바일 클라이언트 자동된 탐지 도구는 선 전에 자동 안전 감사를 위해 주로 사용 된다, 테스트 결과가 정확 하지 않습니다, 수동 검토 필요)
[애플 리 케이 션 강화]
Tencent 클라우드 Lok 구 (http://legu.qcloud.com), 혼동, 응용 프로그램의 암호화를 통해 온라인 애플 리 케이 션 보강 서비스의 Tencent 클라우드 생산 응용 프로그램을 효과적으로 막을 수는 불법 복제를 방지 하기 위해 역 분석. SDK 패키지를 실시간 채널 모니터링 및 보안을 제공합니다.
Tencent 로얄 보안 (http://yaq.qq.com/), Tencent 휴대 전화 버틀러 팀 생산, 응용 프로그램의 보안 암호화, 보안 스토리지, 보안 및 서명, 역방향 디버깅, 카운터 변경 및 기타 문제를 해결 하기 위해 주로.
알리 폴 리 보안 (http://jaq.alibaba.com), 제공 하는 애플 리 케이 션 취약점 탐지, 그것은 또한 제공 합니다 강화 및 지속적인 모니터링 기능에의 응용 프로그램을.
360 통합 (http://jiagu.360.cn), 안 드 로이드 응용 프로그램 보강 서비스의 360 개발 불법 복제 감지, 충돌 로그 분석, 데이터 분석 및 기타 서비스를 포함합니다.
(현재 기술적으로, 보강의 응용만 응용 크래킹의 어려움을 향상 시킬 수 있습니다, 그리고 백 %의 안전성을 보장할 수 없습니다)