一、常用安全设备
1、防火墙
分三种:包过滤防火墙(网络层)、状态检测防火墙、应用程序代理防火墙(应用层)
我们说的防火墙一般指包过滤防火墙,它可以对不合法的数据访问进行阻拦并丢弃。
2、IDS入侵检测系统(被动)
按照一定的安全策略对网络、系统的运行进行实时监控,尽可能地发现网络攻击行为。
3、IPS入侵防御系统(主动)
能监视网络或网络设备的网络数据传输行为,可预先对攻击活动或入侵性网络流量进行拦截,隔离一些不正常或具有伤害性的网络数据传输行为。
4、ACG(上网行为管理)
这个是深信服的,可进行网页访问过滤、网络应用控制、用户行为分析等。
5、WAF(web应用防护系统)
工作在应用层,通过对http或https的web攻击行为进行分析并拦截来降低网站安全风险,通过特征提取和分块检索进行模式匹配来达到过滤、分析、校检网络请求包的目的,在保证正常网络应用功能的同时,隔绝无效非法的攻击请求。
6、蜜罐
是一种主动防御技术,通过模拟易受攻击的主机或服务来吸引攻击者,捕获攻击流量,发现网络威胁,提取威胁特征,它的价值在于被探测、攻陷。
二、反制手段
蜜罐就是蓝队常用的反制手段之一,利用蜜罐可以获取攻击者的IP、操作系统、设备信息等,还可以结合whois进行域名反查。
三、日志分析
1、事件查看器
在Windows上,使用win+R输入eventvwr.msc进入事件查看器
2、常见事件ID
4624:登陆成功
4625:登录失败
4634:注销成功
4672:使用超级用户(如管理员)进行登录
4720:创建用户
3、Linux系统日志
存放在 /var/log目录
系统日志:/var/log/message
cron日志:/var/log/cron
安全日志:/var/log/secure
四、本地组策略编辑器
组策略编辑器包含本地安全策略 的功能,本地安全策略主要是对计算机安全方面和权限的设置,如用户权利的指派等。
可以直接在Windows设置里面搜索组策略即可找到并打开本地组策略编辑器;
在控制面板里将类型换成小图标或大图标,进入管理工具,便可找到本地安全策略。
