周一通常是個不受待見的日子，又遇上下雨，如果再開個會，那應該就是有點糟糕了吧。

4、WAF

WEB應用防火墻，這個重要性不言而喻了，因為等保合規要求必須有，而且，這個客觀的說，還是有用的。畢竟，針對性很強，出現了也很多年了，日益成熟。想到一個問題，就是DMZ區（軍事停火區），好尷尬，我想這個停火區，應該是黑客攻擊的重點區域吧。我們在建立數據機房的時候，講道理，是需要把用戶上網的數據流量和業務功能區域分開的。簡單的說，就是比如一個企業很大，有10棟樓，然后這10棟樓的光纖應該各種匯聚之后呢，比如接在一個萬兆交換機A上，然后A呢再接到整個企業的核心交換機C上，那么企業的一些應用，服務，比如郵件，WWW，OA，erp等呢，應該接在另一個交換機B上，B再接到C下面。也就是用戶和業務的數據，也就是流量不要混在一起，否則，請問安全設備怎么接。

這個圖還不錯，挺形象，簡單。中間橙色的是黑客的流量，被WAF分析后，拒絕了。

這個圖說明了WAF的各種部署形式。常用的是4這種方式，WAF下面接的都是一些業務應用，就是放在DMZ區域的前端。如果網絡復雜，沒法做到，可以使用5，反向代理的方式，幾乎是萬能的方式，很贊，我在另一篇文章里介紹過。大概意思就是反代的話，不論你要保護的網站在哪個位置，都被強制要求去反代設備那里走一下。這樣，只要在反代前部署一個WAF，所有的應用都會被強制流量經過WAF，然后就都會被檢查過濾了。

WAF上面會自帶很多檢測策略，為什么安全產品要不斷迭代更新，一個是引擎，提升算法加快速度。還一個就是規則庫，因為不斷有新的呃攻擊手法，就需要有相應的檢測規則，這些規則就在WAF里，用于檢測流量中暗藏的各種攻擊。就像安檢一樣，安檢有個目錄，可能有100種不能通過的東西，這些東西可能每年會不斷更新的，所以WAF里的規則也是如此。

5、日志審計

又是一天了，估計TT昨天沒有看教程，所以今天的繼續在昨天WAF的后面吧，也湊湊長度。

其實還是當面上課有意思，可以啟發式教學，可以當面羞辱學生，哈哈。OK，言歸正傳。

其實，我是想出去轉轉買點花過年裝飾家里用的。

日志審計，顧名思義了。那么很容易想到兩個問題，審計哪些日志呢？日志的內容又是哪些呢。好吧，我們簡單展開一下。

日志，現在的設備等，這個是必須項目，比如你開發設計了一個軟件產品，那么登錄操作這個產品的日志都需要記錄下來備查。比如WHEN，WHO,做了WHAT。比如admin管理員2月2日下午16:02分登錄了系統，進行了事件查詢，又創建了任務等。這些在日志里都要求可以看到。否則上級監管單位會給你發通知。

一個簡單的日志例子圖

一般設備都會有日志產生，比如網絡設備，安全設備，服務器等。這些日志呢，可以存在本地，比如服務器上的一些訪問日志，A用戶訪問了服務器上的網站，那么服務器上就會有個文件里存放了相應的日志文件，比如，是個txt文件，以日期命名，打開后，里面會有A用戶什么時間，用什么瀏覽器，使用的什么IP地址，訪問了服務器上具體的哪個頁面。

所以，黑客攻擊步驟里，有個很重要的過程叫清理痕跡，就是要把日志清理掉。low一點的黑客會把整個日志都干掉，這個其實也就是表明了，服務器被人搞過了，高級一點的黑客，會把日志中僅和自己相關的日志清理掉，這樣呢，一般不會引起懷疑。網上可以看下，有很多專門清理日志的小工具。

所以，關于日志，建議的做法就是除了本地，還要異地同步存儲一份。比如可以存到日志審計設備里。那么比如服務器A，怎么把它自己的日志存儲到日志審計設備L的呢。一般兩種方式：

1）、一種就是標準的使用syslog的形式，這個是一種協議，支持這個協議，就可以使用這個形式。就像滴滴平臺，你認可接受專車等的協議，那么你就可以去跑相關業務。這個syslog協議就是專門用來發送本地日志到某一特定的日志中心的。在服務器A上需要配置一下syslog的IP和端口，然后呢，相關的日志就會同步推送到日志中心L了。這里要注意的是，一般安全設備或者網絡設備對syslog的支持比較好，就是有界面可以直接配置syslog的IP和端口，但是服務器的支持就不夠好。相對來說，linux對日志的日志還好點，windows的支持差一些。

2）、所以呢，還有一種日志傳輸方式，就是使用agent，對，就是使用代理。也就是在要傳輸日志的服務器上安裝一個小插件，這個插件的作用就是把服務器的日志傳輸到指定的syslog設備，比如日志審計設備。所以，如果一個企業有上百臺機器的日志要審計，這其實是有點工作量的。（如果使用反向代理，那么我們只要把反代的日志傳輸到審計設備即可。）

個人覺得，還真沒有特別做的很好的日志審計廠商，因為接觸測試過好幾家，對于服務器的日志的審計，都比較麻煩，就是獲取服務器日志信息。還有個問題就是日志的格式的問題，因為不同的設備產生的格式不同，審計設備是需要做一些格式化的處理的。

日志審計設備，可以把網絡中的各種設備的日志都放在一起，進行綜合性的查詢，這對于一些安全問題的定位和溯源來說還是很有必要的。

最后引用一下百度的官方介紹：

綜合日志審計平臺通過集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等各類信息，經過規范化、過濾、歸并和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理，結合豐富的日志統計匯總及關聯分析功能，實現對信息系統日志的全面審計。

通過日志審計系統，企業管理員隨時了解整個IT系統的運行情況，及時發現系統異常事件；另一方面，通過事后分析和豐富的報表系統，管理員可以方便高效地對信息系統進行有針對性的安全審計。遇到特殊安全事件和系統故障，日志審計系統可以幫助管理員進行故障快速定位，并提供客觀依據進行追查和恢復。

日志審計不難搞，很多廠商都有，比如安恒，啟明，綠盟，迪普等。重要的對各種設備產品的兼容性，還有就是響應速度，就是性能，因為查海量日志，速度很關鍵。