企业常见安全事故排查思路

总结了一些常见的企业运行中会出现的一些安全设备的事故以及基本的解决方案

事件一:防火墙异常事件

开端:搜到短信提示多种设备存在告警

短信收到报警来源:上网行为管理设备,出口防火墙,出口交换机,核心交换机

初步排查:怀疑是网络波动或电源线,但检查后不存在上述情况

进一步排查:整合报警设备故障端口表格

找到问题点:双机热备的出口防火墙其中一台异常重启

解决方案:WEB端登陆主防火墙,排查后并未发现错误,继续排查备用机,而备用机WEB端目前无法登录,只能通过console口进行查询

show firewall log

发现存在异常,进一步排查确定是因为内存溢出出现的告警,之后寻求技术支持人员的服务进行下一步的处理。

事件二:IDS安全事故处置

开端:告警显示服务器443端口出现安全漏洞

分析威胁源:源地址为内部,目的地址为外部

为了不影响企业生产进行临时管控,在出口防火墙做一条trust到untrust的策略,以此来防止443端口的通信。

事件情况提升:设置后仍存在安全告警,且企业用户需要访问常用网页

调整策略:在WEB端设置URL过滤,仅允许部分常用域名正常通过

最后解决方案:更新IDS入侵特征库,以防止同样的安全漏洞

事件三:IDS某接口流量过高

开端:告警显示接口的流量超载95%

根据网络拓扑图,常用于将核心交换机设置一个镜像接口,连接IDS

解决方案:将IDS空闲接口和原本接口组成一个双链路,同时与核心交换机的两个接口组成链路聚合

实战:交换机聚合两个链路并设置镜像接口

interface Bridge-Aggregation1

description name1

stp edged-port //设为边缘端口,避免不必要的拓扑变化

mirroring group 1 monitor-port

interface G1/0/0/1

port link-mode bridge

description IDS_01

port link-aggreation group 1

interface G1/0/0/2

port link-mode bridge

description IDS_02

port link-aggreation group 1

之后在IDS网页端为IDS空闲接口配置双链路即可

成果:通过链路聚合解决了流量的过载,让流量达到了指定的参数。

总结

以上事件只是简洁的事件处理流程,具体问题需要进一步分析。

相关推荐
花木偶1 小时前
【郑大二年级信安小学期】Day6:CTF密码学&杂项&工具包
安全·web安全·密码学
jingyu飞鸟2 小时前
linux系统源代码安装apache、编译隐藏版本号
linux·运维·apache
qq_312920112 小时前
主机安全-开源HIDS字节跳动Elkeid使用
安全
2401_858286113 小时前
OS15.【Linux】gdb调试器的简单使用
linux·运维·服务器·开发语言·gdb
c30%004 小时前
内网渗透——红日靶场五
运维·服务器
zjw_rp5 小时前
centos停止维护后更换yum源
linux·运维·centos
宇钶宇夕5 小时前
EPLAN 电气制图:建立自己的部件库,添加部件-加SQL Server安装教程(三)上
运维·服务器·数据库·程序人生·自动化
susu10830189115 小时前
Debian 11 Bullseye 在线安装docker
运维·docker·debian
love530love6 小时前
Docker 稳定运行与存储优化全攻略(含可视化指南)
运维·人工智能·windows·docker·容器
岁岁岁平安6 小时前
CentOS-7-x86_64解决:使用NAT模式无法ping通www.baidu.com或无法ping 8.8.8.8问题。
linux·运维·centos·centos-7