企業安全建設入門：基於開源軟體打造企業網路安全

網際網路公司的防護體系的建立，涉及WAF、抗D和伺服器主機安全等；

業務網的基礎安全加固，包括資產管理、補丁管理、作業系統加固等；

常見的幾種威脅情報源的獲取方式；

包括如何使用Kong保護API接口；

如何使用RIPS做PHP代碼審計；

幾種常見的開源蜜罐的使用方法，如Glastopf、Kippo、Elasticpot和Beeswarm等；

如何使用開源軟體做漏洞掃描、入侵檢測；

如何使用開源軟體建設SOC系統；

如何使用DBProxy充當資料庫防火牆、使用mysql-audit進行主機端資料庫審計、使用MySQL Sniffer進行資料庫流量審計；

如何基於開源軟體開發辦公網的準入系統。

目　錄

對本書的讚譽

序

前言

第1章　開源軟體與網路安全 1

1.1　開源軟體重大事件 1

1.2　國內外安全形勢 2

1.3　開源軟體與網路安全 3

1.4　本章小結 6

第2章　業務網縱深防禦體系建設 7

2.1　常見防禦體系 7

2.2　WAF概述 10

2.3　常見WAF部署模式 15

2.4　自建WAF系統 16

2.5　自建分散式WAF系統 27

2.6　抗DDoS攻擊 35

2.7　套用實時防護（RASP） 47

2.8　本章小結 56

第3章　業務網安全加固 57

3.1　安全區域劃分 57

3.2　主機加固 61

3.3　主機級安全資產管理 65

3.4　本章小結 73

第4章　威脅情報 74

4.1　常見的開源威脅情報源和指示器 75

4.2　天際友盟 76

4.3　微步線上 77

4.4　Cymon.io 80

4.5　PassiveTotal 86

4.6　威脅情報與SOC系統聯動 89

4.7　本章小結 90

第5章　業務安全 91

5.1　開源業務安全軟體概述 91

5.2　API網關Kong 92

5.2.1　安裝配置Kong 94

5.2.2　啟動Kong服務 97

5.2.3　搭建API服務環境 97

5.2.4　配置Kong的基礎轉發服務 100

5.2.5　Kong外掛程式概述 101

5.2.6　案例：使用Kong進行Key認證 104

5.2.7　案例：使用Kong進行Bot檢測 107

5.2.8　案例：使用Kong進行CC限速 107

5.3　開源風控系統Nebula 107

5.3.1　系統架構 108

5.3.2　工作流程 108

5.4　本章小結 109

第6章　代碼審計 110

6.1　開原始碼審計軟體 110

6.1.1　RIPS 110

6.1.2　VCG 116

6.2　自建代碼審計系統 120

6.3　本章小結 120

第7章　蜜罐與攻擊欺騙 121

7.1　Web服務蜜罐Glastopf 122

7.2　SSH服務蜜罐Kippo 125

7.3　Elastcisearch服務蜜罐Elasticpot 130

7.4　RDP服務蜜罐rdpy-rdphoneypot 133

7.5　主動欺騙型蜜罐Beeswarm 133

7.6　蜜罐與SOC集成 140

7.7　自建與WAF集成的蜜罐系統 140

7.8　自建蜜罐系統 145

7.9　本章小結 151

第8章　態勢感知系統建設 152

8.1　漏洞掃描 153

8.1.1　Web掃描器簡介 153

8.1.2　自建分散式Web掃描系統 160

8.1.3　連線埠掃描 168

8.1.4　漏洞掃描Checklist 174

8.2　入侵感知概述 175

8.3　網路入侵檢測 179

8.3.1　網路全流量分析概述 179

8.3.2　網路全流量協定解析開源解決方案 185

8.3.3　網路全流量深度解析 193

8.4　主機入侵檢測 197

8.4.1　主機入侵檢測廠商 197

8.4.2　開源的多平台的入侵檢測系統OSSEC 198

8.4.3　實戰案例——監控系統添加新用戶 209

8.5　物聯網IOT以及工控設備ICS入侵檢測 227

8.6　敏感信息外泄監控 231

8.7　本章小節 232

第9章　SOC系統建設 233

9.1　SOC概述 233

9.2　開源SOC軟體之OSSIM 234

9.3　開源SOC軟體之OpenSOC 235

9.4　自建SOC系統 237

9.4.1　數據源系統 237

9.4.2　數據收集層 241

9.4.3　訊息系統層 245

9.4.4　實時處理層 249

9.4.5　存儲層 251

9.4.6　離線分析處理層 256

9.4.7　計算系統 257

9.4.8　實戰演練 262

9.5　本章小結 267

第10章　資料庫安全 268

10.1　資料庫安全風險概述 269

10.2　資料庫安全概述 270

10.3　開源資料庫主機端審計mysql-audit 272

10.4　開源資料庫流量審計MySQL Sniffer 277

10.5　開源資料庫防火牆DBProxy 280

10.6　本章小結 289

第11章　辦公網數據防泄露 290

11.1　數據保護的生命周期 291

11.2　數據防泄露產品 292

11.3　設備級 293

11.4　檔案級 297

11.5　網路級 298

11.6　其他 300

11.7　本章小結 302

第12章　辦公網準入系統和安全加固 303

12.1　準入核心功能 303

12.2　準入控制方式 304

12.3　自建準入系統 307

12.4　辦公網安全加固概述 314

12.5　辦公網安全隔離 315

12.6　辦公網無線安全 317

12.7　辦公網終端安全加固 318

12.8　辦公網終端防病毒 318

12.9　辦公網終端管理 319

12.10　典型案例——Wannacry蠕蟲 319

12.11　本章小結 321

劉焱 百度安全實驗室資深研究員，AI安全產品架構師，研究領域主要包括AI安全、IOT安全、Web安全。原百度安全Web安全產品線負責人、基礎架構安全負責人；FreeBuf、雷鋒網專欄作家、i春秋知名講師，多次在OWASP 、電子學會年會發表演講，參與編寫全國信息安全標準化技術委員會發布的《大數據安全標準白皮書》；“兜哥帶你學安全”創始人；著有AI安全領域三部曲：《Web安全之機器學習入門》《Web安全之深度學習實戰》《Web安全之強化學習與GAN》。