安全策略

1 实践内容 桔皮书：可信任计算机系统评估准则。计算机系统安全评估的第一个正式标准。 ISO 15408（通用准则）是国际统一的安全评估标准。 P^2DR安全模型 安全策略 防护策略 检测 响应 安全策略是模型的核心，所有的防护、检测、响应都是根据安全策略实施的，安全策略为安全管理提供管理方向和支持手段，策略体系的建立包括安全策略的制定、评估、执行等。制定可行的安全策略取决于对网络信息系统及其安全风险的了解程度。 保护机制就是采用一切手段保护信息系统的机密性、完整性、可用性、真实性和不可抵赖性。应该根据不同等级的信息系统安全要求来完善系统的安全功能、安全机制。 检测机制是动态响应和加强防护的依据，是强制落实安全策略的工具。通过不断的检测和监控网络和系统，发现新的威胁和弱点，并通过循环反馈来及时作出有效响应。 在检测到安全漏洞和入侵事件之后，必须实时做出正确反应，从而把系统调整到安全状态，对于威胁及安全的事件行为过程及时作出处理。杜绝危害进一步扩大时，系统能够提供正常的服务。 2 实践过程 2.1 防火墙配置 实践任务: 配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试: (1)过滤ICMP数据包，使得主机不接收Ping包; (2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)

Pod安全策略对于强化K8S集群安全至关重要。本文将延续之前的文章继续深入介绍Pod安全策略。 首先，简单介绍了如何将Pod与Pod安全策略相关联，并使用RBAC来展示具体步骤。然后介绍如何在Rancher中启用默认的PSP和创建自定义PSP。最后将使用一种工具来简化生产中Pod安全策略的使用，极大提升生产力，赶紧戳文咯~ 本文来自 RancherLabs 在 之前的文章 中，我们演示了如何使用受限的PSP策略作为默认值在Rancher中启用PSP。我们还展示了如何防止特权Pod被接纳到集群中。 我们有意省略了有关基于角色的访问控制（RBAC）以及如何将Pod与特定PSP连接的具体细节。那么，这篇文章让我们继续深入研究PSP。 将Pod与Pod 安全策略匹配 你可能已经注意到，PSP模式没有与任何Kubernetes命名空间、Service Account或Pod相关联。实际上，PSP是集群范围的资源。那么，我们如何指定哪些Pod应该由哪些PSP来管理呢？下图显示了所有参与组件、资源以及准入流程的工作方式。 也许一开始听起来很复杂。现在，我们来详细介绍一下。 部署Pod时，准入控制将根据请求deployment的对象来应用策略。 Pod本身没有任何关联的策略——执行该Deployment的是service account。在上图中，Jorge使用webapp-sa service

防火墙虚拟化技术 防火墙虚拟化介绍 什么是虚拟化 一虚多：一台物理机上面逻辑划分出多个虚拟机，每个虚拟机有自己的软件和硬件资源。可以提示系统资源利用率、节省硬件成本、能耗、空间等等 多虚一：以交换机的虚拟化为例，通过物理连线，将多个交换机堆叠成一个交换机，能提升其可靠性并降低运维成本 防火墙的虚拟化  防火墙的虚拟化，就是将一台物理防火墙，从逻辑上划分为多台虚拟防火墙，但是共享CPU、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用 虚拟防火墙  上一代防火墙的虚拟化是完全依赖于***实例实现的。***-instance有独立的安全区域、路由表。通过绑定不同的接口，就相当于有了一台独立的防火墙。防火墙的基本要素，能实现路由转发、能实现基于安全区域的策略配置 虚拟系统  下一代防火墙不再是完全依赖于***实例，而是改为了VSYS，即Virtual-system。为什么不叫虚拟防火墙了？因为我们要抛弃防火墙这硬件的概念，用系统这种逻辑概念来定义防火墙的虚拟化 从VFW到VSYS  虚拟化就是为了让管理员觉得自己得到了一台真实的防火墙，那如何才能让管理员感受到这点呢 a) 要有自己独立的管理员账号和独立的配置界面。在上一代防火墙上，这一点也勉强算是做到了，但做的不够好。因为很多功能并不能在虚拟防火墙独立的配置界面下完成

安全策略  包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流，其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组，统防火墙根据五元组的包过滤规则来控制流量在安全区域间的转发  下一代防火墙的安全策略不仅可以完全替代包过滤的功能，还进一步实现了基于用户和应用的流量转发控制，而且还可以对流量的内容进行安全检测和处理，在源/目的安全区域、时间段、用户、应用等多个维度对流量进行了更细粒度的控制 安全策略与包过滤的区别 安全策略原理  防火墙的基本作用是保护特定网络免受“不信任”的网络的***，但是同时还必须允许两个网络之间可以进行合法的通信  安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙  安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略  控制各个区域之间流量通信，默认所有区域之间不能通信 默认的安全策略是deny <FW1>display security-policy all 11:30:03 2019/06/16 Total:1 RULE ID RULE NAME STATE ACTION HITTED -------------------------------------

Pod安全策略对于强化K8S集群安全至关重要。本文将延续之前的文章继续深入介绍Pod安全策略。 首先，简单介绍了如何将Pod与Pod安全策略相关联，并使用RBAC来展示具体步骤。然后介绍如何在Rancher中启用默认的PSP和创建自定义PSP。最后将使用一种工具来简化生产中Pod安全策略的使用，极大提升生产力，赶紧戳文咯~ 本文来自 RancherLabs 在 之前的文章 中，我们演示了如何使用受限的PSP策略作为默认值在Rancher中启用PSP。我们还展示了如何防止特权Pod被接纳到集群中。 我们有意省略了有关基于角色的访问控制（RBAC）以及如何将Pod与特定PSP连接的具体细节。那么，这篇文章让我们继续深入研究PSP。 将Pod与Pod 安全策略匹配 你可能已经注意到，PSP模式没有与任何Kubernetes命名空间、Service Account或Pod相关联。实际上，PSP是集群范围的资源。那么，我们如何指定哪些Pod应该由哪些PSP来管理呢？下图显示了所有参与组件、资源以及准入流程的工作方式。 也许一开始听起来很复杂。现在，我们来详细介绍一下。 部署Pod时，准入控制将根据请求deployment的对象来应用策略。 Pod本身没有任何关联的策略——执行该Deployment的是service account。在上图中，Jorge使用webapp-sa service

防火墙的动态路由  防火墙和一台路由器之间配置OSPF过程如下： FW1： ospf 1 router-id 10.10.10.10 ----------RID不能相同 area 0.0.0.0 network 202.100.1.0 0.0.0.255 ---------采用通配符方法 network 10.10.10.10 0.0.0.0 放行OSPF安全策略  默认情况防火墙只放行组播的报文，单播包不放行，需要配置安全策略  OSPF网络类型------OSPF报文的单播还是组播--------是否需要放行安全策略 第一步: 定义OSPF服务 ip service-set OSPF type object service 0 protocol 89 第二步：配置安全策略 security-policy rule name permit_ospf source-zone local source-zone untrust destination-zone local destination-zone untrust source-address 202.100.1.10 mask 255.255.255.255 source-address 202.100.1.254 mask 255.255.255.255 destination-address 202.100.1

防火墙接口类型  物理接口 1) 防火墙支持的接口可以是二层接口或者三层接口 2) 二层接口：portswitch 3) 三层接口：undo portswitch  逻辑接口 1) VT（virtual template）接口、dialer接口 2) tunnel接口、null接口 3) vlanif接口 4) 三层以太网子接口 5) Eth-Trunk接口、loobacp接口 防火墙的Eth-trunk  优点： 1) 本质是要提高链路的带宽 2) 可靠性（LACP协议） 3) 负载分担  Eth-trunk模式分类： 1) 手工负载分担模式（默认）注意：所有链路都要参与转发 2) 静态LACP模式（没有动态LACP）注意: 可以所有，也可以配置备份M:N形式  Eth-trunk接口类型 1) 三层Eth-trunk 2) 二层Eth-trunk  交换机上面为二层Eth-trunk 第一步：新建Eth-trunk及模式 interface Eth-Trunk1 mode lacp-static ---------默认手工负载分担 第二步：定义Eth-trunk类型 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 第三步：把接口加入Eth-trunk组

本文来自 Rancher Labs 什么是Pod安全策略？ Kubernetes Pod安全策略（PSP）是Kubernetes安全版块中极为重要的组件。Pod安全策略是集群级别的资源，用于控制Pod安全相关选项，并且还是一种强化Kubernetes工作负载安全性的机制。Kubernetes平台团队或集群运维人员可以利用它来控制pod的创建以及限制特定的用户、组或应用程序可以使用的功能。 举个简单的例子，使用PSP你可以： 防止特权Pod启动并控制特权升级。 限制Pod可以访问的主机命名空间、网络和文件系统 限制可以运行pod的用户/组。 限制Pod可以访问的Volume 限制其他参数，如运行时配置文件或只读根文件系统 在本文中，我们将向你展示在Rancher中如何通过启用一个简单的Pod安全策略来强化你的Kubernetes安全。 Pod安全策略真的可以增强K8S的安全性吗？ 是的，Pod安全策略确实可以增强Kubernetes的安全性。它提供了Kubernetes原生控制机制，可以防止威胁而不影响性能，这与agent必须拦截主机上的每个动作有所区别。 如果你尚未在集群中启用PSP（或执行访问控制之类的等效方法），则Kubernetes用户可能会生成特权集群。这将会被恶意利用，例如提升特权进而突破容器隔离并访问其他Pod/服务。 如果没有限制Pod spec特权的机制，**

《要维持一个安全的网络环境必须具备的四个安全能力》 1.风险预测能力 通过运用大数据技术对内部的安全数据和外部的危险情报进行主动探索分析和评估，能够使危险出现前提早发现问题，遇见肯能出现的危险调整安全策略进行防护 2.***防御能力 采用加固和隔离系统降低***面限制***接触系统发现漏洞和执行代码的能力，并通过转移***手段使***者难以定位系统核心以及可利用漏洞，通过事故预防和安全策略合规审计的方式，通过统一的策略管理和策略联动，防止***未授权进入系统 3.危险检测能力 通过对业务数据和基础设施的全面检测结合现有安全策略提出整改建议，与网络运维系统联动，实现安全策略整改和变更后持续进行监控，结合外部情况快速发现安全漏洞并进行响应。 4.事件响应能力 与网络运维系统进行对接实现安全联动，出现安全漏洞时短时间内进行安全策略的快速调整，被感染的系统和账号进行隔离，通过回顾和分析事件完整过程，利用持续监控所获取的数据，解决相应的安全问题 网络层安全防护 设计 1、通过FW或vFW中的FW、AV、IPS 模块实现网络层访问控制、恶意代码 防护、***防御。 2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。 3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对 数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。 主机层安全防护与 设计 1

如果尝试在通用命名约定 (UNC) 路径上打开或创建客户端项目，将出现此对话框。默认情况下，UNC 路径不是“受信任”的项目位 置。当您试图从该位置调试或运行时，项目可能无法正确运行。有关更多信息，请参见 配置安全策略 [ http://msdn.microsoft.com/zhcn/ library/7c9c2y1w(VS.80).aspx ] 。 以下工具用于修改影响文件共享的策略： .NET Framework 配置工具 (Mscorcfg.msc) [ http://msdn.microsoft.com/zh-cn/library/2bc0cxhc(VS.80).aspx ] 代码访问安全策略工具 (Caspol.exe) [ http://msdn.microsoft.com/zh-cn/library/cb6t8dtz(VS.80).aspx ] Mscorcfg.msc Caspol.exe 请参见 ©2009 Microsoft Corporation. All rights reserved. 一种修改影响文件共享的策略的简单方法是使用 Mscorcfg.msc 授予特定的文件共享“FullTrust”权限。必须是计算机上的管理员才能进 行此更改。 授予文件共享“FullTrust”权限 1. 启动 Mscorcfg.msc。 2. 展开“运行库安全策略”节点、