2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇

Posted LeadlifeSec0x

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇相关的知识,希望对你有一定的参考价值。

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇(2)


author:leadlife
time:2022/3/11
知识星球:LeadlifeSec
技术交流群:775454947

文章目录


在我们的 《2021-技能大赛-信息安全管理与评估-DCN 设备总结 (上)-任务二-设备安全配置篇(1)》篇,我们已经完成了 FW(防火墙) 和 RS(核心三层路由器) 的安全配置,下面让我带领大家进入 NetLog (日志服务器) 以及 WAF (网站应用防火墙) 的安全配置中,享受题目给大家带来的知识点以及安全设备的魅力

NetLog 时间表注意点参考

有关时间段配置参考说明:

参数说明
周期时间表示循环往复按周期生效的策略时间
工作日配置范围从【周日】到【周六】,点击【全选】将全部选中。
时段一个时间策略中每项最大可以设置四个具体时段。 时段格式为:小时:分钟,例如:15:59 表示 15 时 59 分。 时段具体设置要求: 时段开始时间不能大于等于终止时间,至少要相差 1 分种。 每项中的四个时段,不能有交集。 例如:时段一:12:00-15:00 时段二:13:00-14:00,时段一与 时段二存在交集,不符合时间段策略配置要求。
时间列表记录当前时间列表信息; 每项时段要求必须符合如上【时段】设置具体要求; 在同一个时间策略中,位于时间列表中的每项中工作日(周日到 周六)不能有重叠。 例如: 第一项:周日,周三 00:00-01:00 第二项,周二,周三 02:00-03:00 在这两项中【周三】出现重复设置,尽管他们时段没有重复,但 是依然造成冲突。 只需修改成: 第一项:周日 00:00-01:00 第二项:周二 02:00-03:00 第三项:周三 00:00-01:00,02:00-03:00 即可消除这样的重叠冲突

NetLog 时间表注意点参考

有关时间段配置参考说明:

参数说明
周期时间表示循环往复按周期生效的策略时间
工作日配置范围从【周日】到【周六】,点击【全选】将全部选中。
时段一个时间策略中每项最大可以设置四个具体时段。 时段格式为:小时:分钟,例如:15:59 表示 15 时 59 分。 时段具体设置要求: 时段开始时间不能大于等于终止时间,至少要相差 1 分种。 每项中的四个时段,不能有交集。 例如:时段一:12:00-15:00 时段二:13:00-14:00,时段一与 时段二存在交集,不符合时间段策略配置要求。
时间列表记录当前时间列表信息; 每项时段要求必须符合如上【时段】设置具体要求; 在同一个时间策略中,位于时间列表中的每项中工作日(周日到 周六)不能有重叠。 例如: 第一项:周日,周三 00:00-01:00 第二项,周二,周三 02:00-03:00 在这两项中【周三】出现重复设置,尽管他们时段没有重复,但 是依然造成冲突。 只需修改成: 第一项:周日 00:00-01:00 第二项:周二 02:00-03:00 第三项:周三 00:00-01:00,02:00-03:00 即可消除这样的重叠冲突

NetLog 部署方式-邮件告警-SNMPv3-NTP服务器

类似题型

在公司总部的NETLOG上配置,设备部署方式为旁路模式,并配置监控接口与管理接口。增加非admin账户NETLOG2024,密码NETLOG2024,该账户仅用于用户查询设备的日志信息和统计信息。使NETLOG能够通过邮件方式发送告警信息,邮件服务器在服务器区,IP地址是172.16.10.200,端口号25,账号test,密码test;NETLOG上配置SNMPv3,用户名admin,MD5秘钥adminABC,配置日志服务器与NTP服务器,两台服务器地址:172.16.10.200

注意点

  • 部署方式有一个点,并非一定要操作初装向导来改变部署方式
  • 在添加管理员用户 NETLOG2024 时需要建立一个相关用户的管理员组NETLOG

操作

操作部署方式

系统管理 → 基本管理 → 基本信息 → 部署方式

操作监控接口

网络配置 → 网络接入 → 以太网卡

操作管理接口

系统管理 → 基本信息 → 管理端口

添加用户-先添加相应管理员组

系统管理 → 权限管理 → 管理员组


系统管理 → 权限管理 → 管理员

配置角色组

系统管理 → 权限管理 → 角色管理

配置该账户权限

系统管理 → 权限管理 → 权限分配

操作邮件警告

策略管理 → 报警策略 → 邮件管理

操作 SNMPv3

系统管理 → 基本信息 → 远程管理

添加 NTP 服务器

系统管理 → 基本信息 → NTP 配置

NetLog 监控 URL 记录-HTTP访问记录-网段聊天记录-邮件收发记录

涉及题型

在公司总部的NETLOG上配置,监控工作日(每周一到周五)期间PC1网段访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警。监控PC2网段所在网段用户的即时聊天记录。监控内网所有用户的邮件收发访问记录。

注意点

  • 题目中要操作一个邮件发送警告

操作

配置时间表

策略管理 → 时间策略

操作监控 HTTP

应用管理 → 应用规则 → 规则配置



操作监控聊天



操作监控所有内网邮件收发记录





最后应有如下三条监控操作

NetLog 配置应用及其应用组

涉及题型

NETLOG 配置应用及应用组“P2P视频下载”,UDP协议端口号范围65551-65651,在周一至周五800-2000监控内网中所有用户的“P2P视频下载”访问记录;

注意点

  • 需要注意到题目中还有时间点所以我们需要再创建一个时间表

操作

操作策略管理 P2P

策略管理 → 应用管理 → 应用组

操作时间表以监控内网

策略管理 → 时间策略

应用管理 → 应用规则 → 规则配置



Netlog ARP 数量统计-身份识别

涉及题型

NETLOG配置对内网ARP数量进行统计,要求30分钟为一个周期;NETLOG配置开启用户识别功能,对内网所有MAC地址进行身份识别;

操作

ARP 数量统计-操作周期

策略管理 → ARP 策略

操作身份识别

NetLog 报表定制

涉及题型

NETLOG配置统计出用户请求站点最多前20排名信息,发送到邮箱为bn2024@chinaskills.com

操作

WAF 配置与接入

涉及题型

公司内部有一台网站服务器直连到WAF,地址是RS上VLAN10网段内的第五个可用地址,端口是8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器, IP地址是服务器区内第六个可用地址,UDP的514端口;

注意点

可能一些同学和我一样,刚见到这题,都不知道这题目在说些什么,那么这里我带着大家一起分析一下

  • 地址为 RS 上 VLAN 10 网段内的第五个可用地址:172.16.10.5
  • 题目中表示 公司内部有一台网站服务器直连到WAF :操作 WAF 中的服务-服务管理来管理服务器
  • 又表示需要将日志发送给服务器区内第六个可用地址:172.16.10.6

这样我们再继续解题

操作

WAF 介入服务器操作服务管理

服务 → 服务管理

WAF 接入服务器操作日志管理

配置 → 日志配置

WAF 基本防护控制

涉及题型

在公司总部的WAF上配置,阻止常见的WEB攻击数据包访问到公司内网服务器,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。

注意点

  • 操作基本防护,阻止常见 Web 攻击
  • 防止 CC 攻击,开启流量过大访问防护

操作

策略 → 基本攻击防护
策略 → 暴力浏览防护

WAF 限定请求阈值避免 DDOS 与 缓冲区溢出

涉及题目

大量请求的确认值是:10秒钟超过3000次请求;编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻击;

注意点

  • 这里与 WAF 基本防护配置有点相似
  • 不过需要注意 WAF 有关 HTTP 类似的配置均属于协议配置

操作

限定请求阈值

策略 → 暴力浏览防护

限定 HTTP 请求数据最大长度

策略 → 协议规范检测

记得比赛的截图要勾选开启

WAF 爬虫防护-文件上传策略-编辑防护策略-禁止访问特殊文件

WAF上配置开启爬虫防护功能,当爬虫标识为360Spider,自动阻止该行为;WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上配置编辑防护策略,要求客户机访问内部网站时,禁止访问*.bat的文件;

这题没啥注意点,纯粹操作

操作

标识爬虫

对象库 → 爬虫标识组

先添加 360Spider 的爬虫标识再操作爬虫标识组

爬虫防护

策略 → 爬虫防护

特殊文件格式上传阻止

策略 → 输入参数验证

禁止访问特殊文件

策略 → 黑白名单

WAF 漏洞扫描功能

WAF上配置,使用WAF的漏洞立即扫描功能检测服务器(172.16.10.100)的安全漏洞情况,要求包括信息泄露、SQL注入、跨站脚本编制;
操作

漏扫 → 配置

WAF 邮件-短信上报威胁情报

涉及题型

	在公司总部的WAF上配置, WAF设备的内存使用率超过50%每隔5分钟发送邮件和短信给管理,邮箱bn2024@digitalchina.com,手机13912345678;
	在公司总部的WAF上配置,将设备状态告警、服务状态告警信息通过邮件(发送到bn2024@digitalchina.com)及短信方式(发送到13812345678)发送给管理员;

操作

配置 → 告警配置

End

第三篇我们将进入到 WS (无线 AC) 与 无线 AP 的配置中~

以上是关于2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇的主要内容,如果未能解决你的问题,请参考以下文章

2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)

2022 年江西省职业院校技能大赛高职组信息安全管理与评估赛题 02

2017年全国职业技能大赛“网络信息安全与评估”

2023浙江省赛“信息安全管理与评估“--Reverse部分全部解析(高职组)

2021CTF工业信息安全技能大赛(济南站)-可疑的文件

2021年江苏省职业院校技能大赛中职 网络信息安全赛项试卷--web安全渗透测试解析