企业常见安全事故排查思路

总结了一些常见的企业运行中会出现的一些安全设备的事故以及基本的解决方案

事件一:防火墙异常事件

开端:搜到短信提示多种设备存在告警

短信收到报警来源:上网行为管理设备,出口防火墙,出口交换机,核心交换机

初步排查:怀疑是网络波动或电源线,但检查后不存在上述情况

进一步排查:整合报警设备故障端口表格

找到问题点:双机热备的出口防火墙其中一台异常重启

解决方案:WEB端登陆主防火墙,排查后并未发现错误,继续排查备用机,而备用机WEB端目前无法登录,只能通过console口进行查询

show firewall log

发现存在异常,进一步排查确定是因为内存溢出出现的告警,之后寻求技术支持人员的服务进行下一步的处理。

事件二:IDS安全事故处置

开端:告警显示服务器443端口出现安全漏洞

分析威胁源:源地址为内部,目的地址为外部

为了不影响企业生产进行临时管控,在出口防火墙做一条trust到untrust的策略,以此来防止443端口的通信。

事件情况提升:设置后仍存在安全告警,且企业用户需要访问常用网页

调整策略:在WEB端设置URL过滤,仅允许部分常用域名正常通过

最后解决方案:更新IDS入侵特征库,以防止同样的安全漏洞

事件三:IDS某接口流量过高

开端:告警显示接口的流量超载95%

根据网络拓扑图,常用于将核心交换机设置一个镜像接口,连接IDS

解决方案:将IDS空闲接口和原本接口组成一个双链路,同时与核心交换机的两个接口组成链路聚合

实战:交换机聚合两个链路并设置镜像接口

interface Bridge-Aggregation1

description name1

stp edged-port //设为边缘端口,避免不必要的拓扑变化

mirroring group 1 monitor-port

interface G1/0/0/1

port link-mode bridge

description IDS_01

port link-aggreation group 1

interface G1/0/0/2

port link-mode bridge

description IDS_02

port link-aggreation group 1

之后在IDS网页端为IDS空闲接口配置双链路即可

成果:通过链路聚合解决了流量的过载,让流量达到了指定的参数。

总结

以上事件只是简洁的事件处理流程,具体问题需要进一步分析。

相关推荐
PHOSKEY29 分钟前
闪测仪应用案例丨手机中框如何突破「尺寸检测」瓶颈?
运维·智能手机·自动化
JIAKSK1 小时前
VitePress 接入百度统计:全面教程与优化指南
运维·数据可视化
网硕互联的小客服1 小时前
未来趋势:AI与量子计算对服务器安全的影响
运维·服务器·网络·网络安全·量子计算
黑客老李2 小时前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
宇钶宇夕2 小时前
STEP 7 MicroWIN SMART V2.2 的详细安装步骤及注意事项
运维·服务器·程序人生·自动化
玥轩_5212 小时前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
czhc11400756632 小时前
Linux 77 FTP
linux·运维·服务器
薄荷椰果抹茶2 小时前
【网络安全基础】第七章---无线网络安全
网络·安全·web安全
weixin_472339462 小时前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li2 小时前
WebView安全实现(一)
android·安全·webview