常用安全设备、日志分析及组策略(护网蓝初面试干货)

目录

一、常用安全设备

1、防火墙

2、IDS入侵检测系统(被动)

3、IPS入侵防御系统(主动)

4、ACG(上网行为管理)

5、WAF(web应用防护系统)

6、蜜罐

二、反制手段

三、日志分析

1、事件查看器

2、常见事件ID

3、Linux系统日志

四、本地组策略编辑器


一、常用安全设备

1、防火墙

分三种:包过滤防火墙(网络层)、状态检测防火墙、应用程序代理防火墙(应用层)

我们说的防火墙一般指包过滤防火墙,它可以对不合法的数据访问进行阻拦并丢弃。

2、IDS入侵检测系统(被动)

按照一定的安全策略对网络、系统的运行进行实时监控,尽可能地发现网络攻击行为。

3、IPS入侵防御系统(主动)

能监视网络或网络设备的网络数据传输行为,可预先对攻击活动或入侵性网络流量进行拦截,隔离一些不正常或具有伤害性的网络数据传输行为。

4、ACG(上网行为管理)

这个是深信服的,可进行网页访问过滤、网络应用控制、用户行为分析等。

5、WAF(web应用防护系统)

工作在应用层,通过对http或https的web攻击行为进行分析并拦截来降低网站安全风险,通过特征提取和分块检索进行模式匹配来达到过滤、分析、校检网络请求包的目的,在保证正常网络应用功能的同时,隔绝无效非法的攻击请求。

6、蜜罐

是一种主动防御技术,通过模拟易受攻击的主机或服务来吸引攻击者,捕获攻击流量,发现网络威胁,提取威胁特征,它的价值在于被探测、攻陷。

二、反制手段

蜜罐就是蓝队常用的反制手段之一,利用蜜罐可以获取攻击者的IP、操作系统、设备信息等,还可以结合whois进行域名反查。

三、日志分析

1、事件查看器

在Windows上,使用win+R输入eventvwr.msc进入事件查看器

2、常见事件ID

4624:登陆成功

4625:登录失败

4634:注销成功

4672:使用超级用户(如管理员)进行登录

4720:创建用户

3、Linux系统日志

存放在 /var/log目录

系统日志:/var/log/message

cron日志:/var/log/cron

安全日志:/var/log/secure

四、本地组策略编辑器

组策略编辑器包含本地安全策略 的功能,本地安全策略主要是对计算机安全方面和权限的设置,如用户权利的指派等。

可以直接在Windows设置里面搜索组策略即可找到并打开本地组策略编辑器;

在控制面板里将类型换成小图标或大图标,进入管理工具,便可找到本地安全策略。

你可能感兴趣的:(HVV,网络安全,蜜罐,安全设备,日志分析)