零、工作岗位
工作岗位:
网络工程师
网络运维工程师
网络安全工程师
安服工程
安全运营工程师
渗透测试工程师
安全售前
安全售后
安全运维
网络安全
web安全
等保测评师
代码审计工程师
一、安全访问企业内网
1、项目背景
某XXX大型制造企业,总部在北京,温州、广州、重庆等地有多家分公司,各分公司财务数据由总部财务部门进行监管。按公司财务部规定要求,财务ERP服务器放在北京总部内网,所有分公司的财务人员直接访问总部ERP服务器进行财务数据的提交。另外要求实现员工出差时可以安全的访问公司内部OA服务器。
2、需求分析
关于分公司财务人员访问总部ERP服务器的需求,为了安全考虑不采NAT Server发布ERP服务到外网的方式。采用更安全可靠的VPN技术,在总部防火墙和各分公司防火墙之间部署点到多点的IPSec VPN,使分公司财务员工直接通过内网IP地址访问总部ERP服务器。
关于出差员工远程访问公司内部OA服务器需求,为了安全考虑没有必要发布OA服务器到外网,可以在总部防火墙上配置SSL VPN,在员工电脑上安装VPN客户端软件。当员工出差在外时,通过VPN客户端连接到公司内网,直接通过内网IP地址访问OA服务器。
3、解决方案
1)在集团防火墙上配置IPSec VPN配置场景为点到多点,采用预共享密钥的方式认证。
2)在集团防火墙上配置SSL VPN,并且创建VPN接入用户。
3)在各分公司防火墙上配置IPSec VPN配置场景为点到点,采用预共享密钥的方式认证,VPN配置成功后,分公司员工可以直接通过内网地址访问总部ERP服务器。
4)在出差员工电脑上安装SecoClient 客户端,并分配一个VPN接入用户。当员工需要访问总部OA服务器时,只要使用VPN客户端连接即可接入到公司内网。
4、部署实施
1)配置接口地址和安全区域
2)配置对象
3)配置安全策略
4)配置路由
5)配置IPSec VPN
6)创建用户
7)配置SSL VPN
二、运维审计系统
1、项目背景
XXX企业有Windows Server服务器运行SAP系统、Linux服务器运行加密系统,平时由服务商提供业务系统维护,采用NAT Server映射远程连接端口的方式(公网IP的52089端口映射Windows服务器3389端口,公网IP的52022端口映射Linux服务器22端口)。当业务系统有问题时服务商直接远程访问服务器进行配置,过程无法监控;另外远程管理端口直接映射到外网,存在安全隐患。
按等保合规要求,需要对运维人员管理服务器、网络设备的权限进行集中管控。对系统服务商维护业务系统过程进行监控,并可以对这些操作进行记录,根据安全审计策略对审计记录进行存储、管理和查询等。
2、需求分析
根据客户需求,可以部署运维审计系统对服务商和企业内部运维人员进行管控和审计。运维审计系统又称堡垒机,可以解决资产多难管理、运维职责权限不清晰以及运维事件难追溯等问题, 助力企业满足等保合规需求。可以实现集中管理运维权限、全程管控操作行为、实时还原运维场景、保障运维行为身份可鉴别、权限可管控、操作可审计等功能。
3、解决方案
1)以旁路的方式部署堡垒机,不需要改变现有网络架构,灵活方便的管控。
2)在服务器端通过安全策略,配置只有堡垒机才能远程访问服务器。确保通过内网和外网的运维操作都受到管控。
3)通过NAT Server发布堡垒机web访问到外网,端口号为52021(配置防火墙防止端口扫描,减少端口暴露的风险)
4)创建系统用户时,普通用户的认证方式为手动输入,输入密码才能登录服务器以增加安全性。
5)采用JumpServer开源堡垒机,其符合 4A 规范的专业运维安全审计系统,配备 Web Terminal 方案,交互界面美观、用户体验好。采纳分布式架构,支持横向扩展,无资产数量及并发限制。
4、部署实施
1)创建堡垒机用户
2)在服务器上准备普通用户
3)创建系统用户-普通用户
4)创建资产
5)创建资产授权
6)测试远程连接
三、运维监控系统
1、项目背景
XXX企业有因业务需要,部署了8台Windows服务器和5台Linux服务器,1台华为防火墙、2台华为核心交换机和大量的接入交换机。运维工程师日常监控时通过Windows自带的资源监视器和Linux命令top、free、df等进行查看,防火墙和核心交换机的资源占用通过登录Web页面查看。无法做到一目了然,没有警报机制无法及时了解IT资源占用信息。为增加运维人员的工作效率,及时发现并排查故障,需要集中监控服务器和设备资源占用。
2、需求分析
运维监控系统发展发展比较成熟,比如华为eSight是面向企业的一体化融合运维管理解决方案,实现跨厂商、跨产品融合管理。Nagios、Zabbix是开源的免费网络监视工具,能有效监控Windows、Linux的主机状态,交换机路由器等网络设备。Solarwinds功能强大的网络监控和网络管理工具。
计划使用Zabbix作为运维监控系统,拥有丰富的监控模板、方便自定义和二次开发,采用B/S架构灵活的以Web方式展现。
3、解决方案
1)在openEuler系统上部署Zabbix Server(主控端)
2)部署被控端:在Linux服务器上安装Zabbix agent,在Windows服务器上安装zabbix_agent2,在网络设备上开启SNMP V2
3)在Zabbix 服务端添加主机(选择对应的监控模板),配置仪表盘等
4、部署实施
1)安装openEuler 22.03
2)部署LAMP环境
3)部署Zabbix Server:离线安装、初始化数据库、连接数据库、启动Zabbix Server服务
4)在Linux被控端安装Zabbix agent,配置主控主机地址、启动Zabbix agent服务
5)在Windows被控端安装Zabbix agent,配置主控主机地址
6)在网络设备上开启SNMP V2配置团体名
7)在主控端配置主机,添加Linux、Windows、网络设备被控端
8)配置仪表盘,监控主要性能参数
四、渗透测试
1、项目背景
XXX公司网络有Linux服务器、Windows服务器,近期OA服务器感染了勒索病毒造成数据被加密锁死OA服务器崩溃。为防止类似安全事件再次发生,保障企业网络安全,请网络安全专家对企业网络进行全面的安全防护和加固
2、需求分析
3、解决方案
4、部署实施
渗透测试
1、漏扫(8个漏洞)、系统安全隐患(Windows、Linux)
2、分析漏洞隐患(系统漏洞),密码爆破,DOS攻击
3、渗透测试、后渗透
4、测试报告,提出解决方案
5、实施安全加固
五、优秀作品汇总
安全加固项目:
珍岛旅游景区安全加固项目(长沙河西中心)
以下是拔高操作(感兴趣可以完成)
1、配置Linux防火墙和SELinux开启防火墙和SELinux的前提下,允许指定的端口访问1)Linux防火墙配置systemctl start firewalld //启动防火墙服务firewall-cmd --list-ports //端口列表firewall-cmd --add-port=80/tcp --permant //添加端口firewall-cmd --reload //重新载入配置使生效firewall-cmd --query-port=80/tcp //查询端口firewall-cmd --remove-port=80/tcp --permant //删除端口2)SELinux配置setenforce 1 //开启SELinux强制保护semanage port -l | grep 80 //查看80端口semanage port -a -t http_port_t -p tcp 80 //添加80端口semanage port -m -t http_port_t -p tcp 80 //修改80端口semanage port -d -t http_port_t -p tcp 80 //关闭80端口
开启防火墙和SELinux的前提下,允许指定的端口访问
1)Linux防火墙配置
systemctl start firewalld //启动防火墙服务
firewall-cmd --list-ports //端口列表
firewall-cmd --add-port=80/tcp --permant //添加端口
firewall-cmd --reload //重新载入配置使生效
firewall-cmd --query-port=80/tcp //查询端口
firewall-cmd --remove-port=80/tcp --permant //删除端口
2)SELinux配置
setenforce 1 //开启SELinux强制保护
semanage port -l | grep 80 //查看80端口
semanage port -a -t http_port_t -p tcp 80 //添加80端口
semanage port -m -t http_port_t -p tcp 80 //修改80端口
semanage port -d -t http_port_t -p tcp 80 //关闭80端口
2、扩展的项目项目1、出差员工访问公司内网(SSL VPN)2、堡垒机连接网络设备(路由器)3、Zabbix监控windows和网络设备(防火墙)
1、出差员工访问公司内网(SSL VPN)
2、堡垒机连接网络设备(路由器)
3、Zabbix监控windows和网络设备(防火墙)
SSLVPN(员工远程访问企业内网)
一:SSL VPN实现手册
二:Windows虚拟机预配(VMNET1仅主机模式)
向VMNET1添加IP地址:192.168.100.1 (将192.168.21.1 192.168.22.1 192.168.30.1 删除) 虚拟机windows配置(网络适配器选择自定义 VMnet1(仅主机模式)): ip地址:192.168.100.10 子网掩码:255.255.255.0 网关:192.168.100.254
三:网络拓扑
四:secoclient VPN远程登录客户端软件
win2008可以使用secoclient客户端去访问企业内网 但是使用IE浏览器去访问失败,为什么会失败? 原因:兼容性问题 注意: 员工出差办公室,如果使用的是win10的主机,SecoClient或者使用IE浏览器都可以访问企业内网 如果员工使用的不是win10的主机,需要使用SecoClient客户端,不要使用IE浏览器访问企业内网
ChatGPT
LAMP:给web应用提供运行的环境 L:Linux A:Apache (web应用服务器) M:MySQL/MariaDB 数据库服务器 P:PHP/Python/Perl W AMP:Windows L N MP:Nginx web应用服务器 开启防火墙: systemctl enable firewalld --now 禁止防火墙: systemctl disable firewalld --now 关闭SELINUX:setenforce 0 vim /etc/selinux/config SELINUX=disabled
项目背景: 因业务需要,员工居家办公或出差办公仍需正常工作,让远程工作的员工能够访问公司的内网 需求分析: SSL VPN技术可以让远程工作员工访问公司内网 实施: 华为eNSP USG6000V实现SSL VPN操作手册 交付周期: 2023年x月xx日 xx:00交付