《3. 安全感知平台上架部署》由会员分享,可在线阅读,更多相关《3. 安全感知平台上架部署(9页珍藏版)》请在金锄头文库上搜索。
1、第6.3.3节节 安全感知平台上架部署 1 2 Contents 接入设备 上架部署 安全感知平台部署 安全感知平台上架 安全感知平台单臂部署在客户网络中,如下 图 1、给安全感知平台配置一个IP用于管理和接 受数据即可。 若有管理区域亦可使用两个网口,一个网口用 于接收数据,另一个网口用户管理。 2、探针建议尽量部署在接入层,可以收集更 全面的流量。如勒索病毒可在二层直接传播, 部署在二层交换机上可收集到这部分攻击。 若客户二层交换机不能支持镜像再考虑部署 到汇聚层或核心层。 安全感知平台上架 安全感知平台单在内外网环境中的部署。 安全感知平台可配置两个网口一个部署在内网交换机,另一个接在外
2、 网交换机上,分别接收探针上传的安全日志, 可统一分析 *注:1、内外网IP地址段不要冲突。2、建议安全感知平台默认路由 指向外网核心网关,内网明细路由指向内网核心交换机网关 1 2 Contents 接入设备 上架部署 安全感知平台部署 防火墙部署如图所示分为互联网出口防火墙 和服务器前端防火墙。 正常配置部署: 互联网出口防火墙:用于防护外网对内网终端及服务 器发起的攻击。 服务务器区防火墙墙:用于防护内网终端及互联网发起的 攻击。 与安全感知平台结结合后: 安全感知平台主要是检测 内网存在风险 的主机,如服 务器在中病毒后向外网或内网其它主机发起攻击行为 ,这时 需要防火墙能检测 到这部
3、分攻击行为再上传 到安全感知平台做分析。及防火墙需要配置内网到外 网方向攻击的记录 日志。 NGAF环环境 VSS环环境 VSS主要解决虚拟化环境中服务器 的安全防护问题 。 VSS与防火墙增加配置思路类似, VSS在虚拟化环境使用,需要增加 服务器到互联网方向和服务器到内 网访问 的攻击检测 ,作用是允许即 可。 EDR环环境 EDR主要解决传统 服务器或虚拟 化环境中的终端安全防护问题 。 EDR会检测 到终端上存在的安全 问题 如webshell,病毒等,会做 扫描,将发现 的安全日志上传到 安全感知平台。按EDR的正常配 置部署即可 AC环环境 AC与安全感知结合主要解决终端 定位问题 ,如客户环 境为DHCP环 境,每次终端登录后IP地址会改变 ,无法定位问题终 端。 结合AC可将用户名信息同步到安 全感知平台,对于终端IP地址变动 而定位不了问题终 端的问题 。 *注:AC不上传用户行为日志记录 。
