上级部门通知局域网内存在僵尸木马要求网络进行整改,作为网管人员需要怎样去处置解决这个问题呢?首先,上级部门只能检测到局域网总出口的IP地址,并不能识别终端的IP地址。当网内的终端数量比较多时,每台电脑做病毒查杀的工作量太大了,网管人员会很头疼这个问题。
比较合理的方案是在局域网内部署一台入侵检测系统,通过对网络数据包进行分析检测,从而发现问题主机。在本文中,我将以“WSG上网行为管理”为例,来介绍如何进行内网的木马检测。
WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,这两个模块的检测原理都是入侵检测snort。如下图:
企业网络信息安全问题日益突出,为了加强企业内部的网络安全建设,网络管理技术人员应当从如下几个方面来设计网络安全解决方案:
首先需要有完善的网络安全管理制度,根据企业的实际工作需要制定符合公司实际情况的管理制度和措施来保证网络的正常运行和网络的安全运行,并且配备专业的技术人员负责管理维护内网的计算机和网络设备。
越来越多的企事业单位开始重视信息安全,企业的技术资料、客户信息等一旦发生信息泄露,会给企业带来不可估计的损失。即使是网络环境比较简单的中小企业,也一样会受到网络安全的威胁。如果不注重网络安全,往往会导致企业的重大损失。本文中,我将从网络安全的角度,来论述如何保障公司内网的网络信息安全。主要涉及到如下四点:
合理的网络架构
了解内网的终端
管控到外网的访问
管控来自外网的访问
局域网内如果有电脑感染了木马病毒,是一件让人很头疼的事情。对成百上千台电脑一台一台的进行查杀,简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展,大部分情况下最终只能一台一台的杀毒整理。
从技术原理上来说,上级部门是在网络上层部署了入侵检测系统,对网络流量进行分析,从中识别出木马病毒的特征;由于出口处做了网络地址转换,上级部门只能检测到公网IP,而无法知道实际中毒的电脑。所以,你只需要在本地局域网中部署了入侵检测,就可以检测到本地的中毒电脑的IP地址和MAC地址。然后就可以直接对电脑进行查杀了。
如下图,在WSG上网行为管理的“安全防护”-“入侵防御”中,点击“IPS检测项”,就可以看到入侵防御的各个选项。
一些企事业单位的局域网出于安全需要,必须指定的mac地址才可以联网和访问服务器资源。在本例中,我将结合WSG上网行为管理网关,来介绍如何通过客户机的MAC地址来对客户端进行身份认证,只有通过认证的客户端设备才可以访问网络资源。网络结构图如下:
作者:笨小驴 | 分类:网络安全方案 | 浏览:3501 | 评论:0
网管技术人员经常需要处理网站打不开的问题,而网站打不开可能有很多原因,作为一名合格的网络技术人员,需要可以快速定位问题所在,然后加以解决。
本文中,我将介绍网站打不开的常见原因以及对应的解决方法。
网站自身问题
DNS解析问题
线路不通
网络安全策略
勒索软件对企业数据有着毁灭性的破坏力,而且企业中了勒索病毒后,如果没有相关的数据备份,要么承担损失,要么只能支付赎金。因此勒索软件的种类和扩散逐年递增,防御勒索软件工作成为了企业数据安全防护工作中的众矢之的。
勒索软件的传播途径和工作原理主要有两种:
1). 通过攻击windows服务器漏洞入侵到企业内网,然后再进行大面积的攻击感染。
2). 通过邮件、网站挂马、文件等方式,先感染个人电脑,然后攻击整个局域网。
企业的内网存放着很多重要信息,比如公司的技术资料、客户信息等。一旦发生信息泄露,会给企业带来不可估计的损失。信息安全是系统工程,涉及到管理行政手段,文件加密技术、网络安全技术等各方面。本文中,我将从网络架构的角度,来论述如何保障内网的信息安全。主要涉及到如下两点:
如何防范非法接入?
如何保障重要信息的安全?
WSG上网行为管理的“事件查看器”中记录了一系列的事件、告警以及错误信息,包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中,我将介绍如何利用企业微信机器人来实现事件日志的实时发送。具体步骤如下:
在手机版的企业微信群聊中,添加群机器人,并记录webhook的URL地址。如下图:
WSG的“事件查看器”中记录了一系列的事件、告警以及错误信息,包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中,我将介绍如何利用钉钉机器人来实现事件日志的实时发送。具体步骤如下:
首先需要在钉钉pc版的群助手里面添加机器人
网络安全现在已经是互联网领域的重要问题,网络安全引发的事故也一直呈上升趋势。中小企业虽然网络环境比较简单,但是一样会受到网络安全的威胁。如果不注重网络安全,往往会导致企业的重大损失。下面我们就一起来看看中小企业面临的常见网络安全威胁:
众所周知,SSL加密的通讯数据,比如https,pops, imaps, smtps,由于在通讯过程中进行非对称加密,其数据是密文传输的;导致网络监控不能直接监控到其内容,也无法对内容中的信息进行深度过滤。作为专业的上网行为管理系统,WFilter NGF在最新版本中,新增了“SSL监控模块”。该SSL监控模块,可以充当SSL的中间人进行证书拦截,从而解析出SSL加密的数据内容。利用该模块,可以实现如下内容:
记录https网站的页面内容、发帖内容。
对https网站的访问进行深度过滤,比如禁止https网站的下载文件格式、禁止在https网页上传附件等。
记录pops, imaps, smtps的邮件内容。
对pops, imaps, smtps的邮件进行深度过滤,比如设置邮件发送接收黑白名单,禁止发送附件等等。
这里说的硬件防火墙,就是专业防火墙,入侵检测,主动防御,病毒防护,这些基本的以外,还有杀毒库,针对病毒查杀。这样的硬件防火墙一般过万,甚至过大几万。什么样的局域网环境才需要呢。毋庸置疑,经济上得是一个宽裕的局域网。技术上以及必要性上呢。
其实就一个必要性,局域网里面有对外网发布的WEB服务,比如WEB服务器,邮件服务器等。这样可以从互联互直接访问,容易遭遇黑客,攻击,这样的环境,不管大小,千万别吝啬,买一台硬防,有力又有利。
但是如果只是普通局域网,没有需要外部访问的服务器 ,有的路由上甚至连做端口映射 外部也就访问不到内部的服务器了
那么就没有必要安装硬件防火墙了。哪怕有ERP,有组网VPN,用不用专业硬件防火墙,技术上真的不重要,国内现在运营商已经把常见的80端口都禁止掉了,直接通过80端口连不了。而普通局域网要注重的则是内网安全,内网安全防护好了,外网自然也不会有任何问题。所谓安全,所谓防护,所谓上网行为管理,并不是局域网出了问题了,才来解决,而是平时上网建立良好的上网秩序,规范上网行为和内容,养成良好的上网行为习惯,网络自然健康通畅。
这里说的路由,是千元以上的路由,一千块以下的就不谈的。现在很多企业路由,都说有这样的功能,
IP-MAC绑定是很多路由,网关的一个常见功能,主要用来绑定局域网终端的IP地址,防止终端随便修改IP,导致网内IP地址冲突,而导致网络歇火。先来说IP-MAC绑定的原理分两个部分:前部分,所谓绑定,就是让这台电脑的MAC始终获取同一个ip地址或者指定ip,这个做到很容易,很多路由都号称有这样功能称之IP-MAC绑定。但是做到这一步,没啥意义,因为上网终端一旦修改了IP,照样可以上网,照样IP冲突,真正夯实IP-MAC绑定的是后半部分,这个上网行为管理才可以做到(核心交换机也能做到,但是配置很麻烦费事)要有上网数据,通过行为管理来检测这个这个MAC是不是一直都是获取的这个IP,一旦不是获取的这个IP或者IP被擅自修改了,就会让MAC断网。或者一旦有新的没有登记再案的终端进来(电脑,路由或者手机)进来,即使插上,也无法上网
