总结了一些常见的企业运行中会出现的一些安全设备的事故以及基本的解决方案
事件一:防火墙异常事件
开端:搜到短信提示多种设备存在告警
短信收到报警来源:上网行为管理设备,出口防火墙,出口交换机,核心交换机
初步排查:怀疑是网络波动或电源线,但检查后不存在上述情况
进一步排查:整合报警设备故障端口表格
找到问题点:双机热备的出口防火墙其中一台异常重启
解决方案:WEB端登陆主防火墙,排查后并未发现错误,继续排查备用机,而备用机WEB端目前无法登录,只能通过console口进行查询
show firewall log
发现存在异常,进一步排查确定是因为内存溢出出现的告警,之后寻求技术支持人员的服务进行下一步的处理。
事件二:IDS安全事故处置
开端:告警显示服务器443端口出现安全漏洞
分析威胁源:源地址为内部,目的地址为外部
为了不影响企业生产进行临时管控,在出口防火墙做一条trust到untrust的策略,以此来防止443端口的通信。
事件情况提升:设置后仍存在安全告警,且企业用户需要访问常用网页
调整策略:在WEB端设置URL过滤,仅允许部分常用域名正常通过
最后解决方案:更新IDS入侵特征库,以防止同样的安全漏洞
事件三:IDS某接口流量过高
开端:告警显示接口的流量超载95%
根据网络拓扑图,常用于将核心交换机设置一个镜像接口,连接IDS
解决方案:将IDS空闲接口和原本接口组成一个双链路,同时与核心交换机的两个接口组成链路聚合
实战:交换机聚合两个链路并设置镜像接口
interface Bridge-Aggregation1
description name1
stp edged-port //设为边缘端口,避免不必要的拓扑变化
mirroring group 1 monitor-port
interface G1/0/0/1
port link-mode bridge
description IDS_01
port link-aggreation group 1
interface G1/0/0/2
port link-mode bridge
description IDS_02
port link-aggreation group 1
之后在IDS网页端为IDS空闲接口配置双链路即可
成果:通过链路聚合解决了流量的过载,让流量达到了指定的参数。
总结
以上事件只是简洁的事件处理流程,具体问题需要进一步分析。