企业常见安全事故排查思路

总结了一些常见的企业运行中会出现的一些安全设备的事故以及基本的解决方案

事件一:防火墙异常事件

开端:搜到短信提示多种设备存在告警

短信收到报警来源:上网行为管理设备,出口防火墙,出口交换机,核心交换机

初步排查:怀疑是网络波动或电源线,但检查后不存在上述情况

进一步排查:整合报警设备故障端口表格

找到问题点:双机热备的出口防火墙其中一台异常重启

解决方案:WEB端登陆主防火墙,排查后并未发现错误,继续排查备用机,而备用机WEB端目前无法登录,只能通过console口进行查询

show firewall log

发现存在异常,进一步排查确定是因为内存溢出出现的告警,之后寻求技术支持人员的服务进行下一步的处理。

事件二:IDS安全事故处置

开端:告警显示服务器443端口出现安全漏洞

分析威胁源:源地址为内部,目的地址为外部

为了不影响企业生产进行临时管控,在出口防火墙做一条trust到untrust的策略,以此来防止443端口的通信。

事件情况提升:设置后仍存在安全告警,且企业用户需要访问常用网页

调整策略:在WEB端设置URL过滤,仅允许部分常用域名正常通过

最后解决方案:更新IDS入侵特征库,以防止同样的安全漏洞

事件三:IDS某接口流量过高

开端:告警显示接口的流量超载95%

根据网络拓扑图,常用于将核心交换机设置一个镜像接口,连接IDS

解决方案:将IDS空闲接口和原本接口组成一个双链路,同时与核心交换机的两个接口组成链路聚合

实战:交换机聚合两个链路并设置镜像接口

interface Bridge-Aggregation1

description name1

stp edged-port //设为边缘端口,避免不必要的拓扑变化

mirroring group 1 monitor-port

interface G1/0/0/1

port link-mode bridge

description IDS_01

port link-aggreation group 1

interface G1/0/0/2

port link-mode bridge

description IDS_02

port link-aggreation group 1

之后在IDS网页端为IDS空闲接口配置双链路即可

成果:通过链路聚合解决了流量的过载,让流量达到了指定的参数。

总结

以上事件只是简洁的事件处理流程,具体问题需要进一步分析。

相关推荐
jieyucx25 分钟前
Docker 入门第一阶段:建立正确认知与初体验
运维·docker·容器
爱折腾的小黑牛1 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
qetfw2 小时前
CentOS 7 基础环境配置
linux·运维·centos
jieyucx3 小时前
Docker 入门第二阶段:掌握日常命令
运维·docker·容器
随性而行3603 小时前
微信API接口与AI自动化:开发者的实现思路
运维·服务器·开发语言·人工智能·微信·自动化
糖果店的幽灵4 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代5 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布5 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
胖兔纸25 小时前
OpenStack 1.7.2 & Ceph 9.2.1 运维命令
运维·ceph·openstack
JL155 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全