思享家丨思科安全上新,“牆” 化零售門店安全
思享家丨思科安全上新,“牆” 化零售門店安全
思科聯天下 思科聯天下 2022-09-08 17:00 發表於北京
作者:思科大中华区安全事业部资深架构师 赵帆
反复的疫情讓已是微利運營的零售企業雪上加霜。原本就捉襟見肘的 IT 預算,都用來勉力維持系統運營,老舊安全設備更新和一些新安全項目只能暫時擱置。然而,網絡安全威脅並不會因疫情而止步,反而有愈演愈烈之勢。零售企業經營信息洩露、門店因中毒被迫停業等安全事件層出不窮。一方面是有限的資金和人力資源,一方面是複雜的網絡安全形勢,零售企業的 IT 部門陷入兩難境界,不知道如何又好又省地解決安全問題。
作為全球領先網絡安全方案供應商,思科結合服務海內外零售企業的經驗,建議零售用戶以防火牆為企業網絡安全系統的 “基本盤” ,門店安全圍繞防火牆破局。這會帶來以下幾個確定的優勢:
1.防火牆是成熟市場,廠商價格,功能體系相對完整,被 “殺豬盤” 的機率較低。
2.分支網點面臨的網絡攻擊,特點是雜而不專,多而不深。防火牆,尤其是下一代防火牆中的 IPS,反病毒,應用控制等技術,防範基礎網絡攻擊依然十分有效。
3.基礎的行業合規、等保等要求,通過防火牆能夠快速地滿足。
但是在這之外,我們還需討論防火牆在零售業的幾個實踐要點:
1.部署和管理簡易。目前零售瘦 IT 是主流趨勢,需要確保防火牆能夠多設備集中部署和管理,在偏遠或海外場景中,甚至需要雲上線,雲管理。
2.網絡和安全融合。邊界設備能夠具備安全防護能力,並在安全防護棧和網絡加解密,轉發等能力疊加後保持穩定的吞吐,同時應該具備基礎的網絡選路和流量調度功能,在一些沒有完整 SD-WAN 需求的門店可充當基礎的出口網關。
3.全面的合規能力。對於門店或分支員工或用戶私接設備,瀏覽非法內容,佔用帶寬等違規行為,可通過技術手段進行監控和乾預。
思科 Firepower 3100 系列的發布,和新系統的功能更新,為零售行業門店提供了很好的產品支持。
▲圖一:安全分支整體架構
首先,針對零售企業 IT 人力有限的特點,思科強化了集中管理功能。 Firepower 全系列支持統一管理平台 Firepower Management Center(FMC),或 FMC 集中管理。零售門店可在管理界面統一配置安全策略並集中推送。 FMC 策略配置界面支持 IPS,AMP… Continue reading
ARP配置教程
ARP報文內MAC地址一致性檢查功能主要應用於網關設備上,可以防禦以太網數據幀首部中的源/目的MAC地址和ARP報文數據區中的源/目的MAC地址不同的ARP攻擊。
本命令不支持在子接口上配置,當子接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循主接口下的檢查規則。
本命令不支持在VLANIF接口上配置,當VLANIF接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循成員口下的檢查規則。
[Huawei-GigabitEthernet0/0/1]arp validate ?
destination-mac Destination MAC
source-mac Source MAC
7、arp報文合法性檢查
為了防止非法ARP報文的攻擊,可以在接入設備或網關設備上配置ARP報文合法性檢查功能,用來對MAC地址和IP地址不合法的ARP報文進行過濾。設備提供以下三種可以任意組合的檢查項配置:
1、IP地址檢查:
設備會檢查ARP報文中的源IP和目的IP地址,全0、全1、或者組播IP地址都是不合法的,需要丟棄。對於ARP
應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,只檢查源IP地址。
2、源MAC地址檢查:
設備會檢查ARP報文中的源MAC地址和以太網數據幀首部中的源MAC地址是否一致,一致則認為合法,否則丟棄報文。
3、目的MAC地址檢查:
設備會檢查ARP應答報文中的目的MAC地址是否和以太網數據幀首部中的目的MAC地址一致,一致則認為合法,否則丟棄報文。
通常,ARP報文中源MAC地址和以太網數據幀首部中的源MAC地址不一致的ARP報文,以及目的MAC地址和以太網數據幀首部中的目的MAC地址不一致的ARP應答報文均是ARP協議允許的ARP報文。因此,只有在網絡管理員發現攻擊產生後,通過報文頭獲取方式定位,確定是由於對應項不一致的ARP報文導致的攻擊,才能指定ARP報文合法性檢查時需要檢查源MAC地址和檢查目的MAC地址。
[Huawei]arp anti-attack packet-check sender-mac #模擬器只有目的MAC
8、配置ARP表項嚴格學習
只有本設備主動發送的ARP請求報文的應答報文才能觸發本設備學習ARP,其他設備主動向本設備發送的ARP報文不能觸發本設備學習ARP,這樣,可以拒絕大部分的ARP報文攻擊。
ARP表項嚴格學習功能可在全局和接口視圖下進行配置。
在全局使能ARP表項嚴格學習功能的前提下:
如果在指定接口下執行命令arp learning strict force-disable,則該接口將會被強制執行去使能ARP表項嚴格學習的功能。
如果在指定接口下執行命令arp learning strict trust時,則該接口的ARP表項嚴格學習功能和全局的配置保持一致。
由於有些用戶主機上安裝的防火牆會阻止其收到ARP請求時發送ARP應答或網卡無法回复ARP應答,所以使能ARP表項嚴格學習功能後,如果設備上觸發了ARP Miss消息,則設備主動發出的ARP請求將無法得到該用戶的ARP應答,從而使設備無法學習到該用戶的ARP。在這種場景下,如果僅是個別用戶出現該問題,則可以為其配置靜態ARP;如果該問題在用戶中非常普遍,則建議去使能ARP表項嚴格學習功能。
具體配置:
1、全局配置… Continue reading
考试 MO-101: Microsoft Word Expert (Office 2019)
考試涵蓋自定義Word環境以滿足專案需求並提高生產效率的能力。 專家級別的文件示例包括商業計劃、研究論文、書籍、專業手冊和群發郵件。 考生應在專家級別上演示 Word 主要功能的正確應用,並獨立完成任務。
備註
此考試名稱已於 2022 年 9 月 1 日更正,以澄清與 Office 2019 的關聯。
以下項的部分要求: Microsoft Office Specialist: Microsoft Word Expert (Office 2019)
相關考試: 無
安排考試
MO-101
語言: 英語, 西班牙文, 法語, 德語, 日語, 韓語, 中文(簡體), 中文(繁體)
截止日期: 無
該考試衡量針對各種特殊目的和情況創建和管理專業文檔的能力。 考試涵蓋自定義Word環境以滿足專案需求並提高生產效率的能力。 專家級別的文件示例包括商業計劃、研究論文、書籍、專業手冊和群發郵件。
中国
$100 USD*
價格根據考試所在國家或地區而定。
測試的技能
管理文件選項和設定 (20-25%)
使用進階編輯及格式化功能 (25-30%)
建立自訂文件元素 (25-30%)
使用高級 Word 功能 (20-25%)
MO-101:Microsoft Word… Continue reading
NSE 6 Network Security Specialist—FortiWeb
NSE 6 Network Security Specialist—FortiWeb Exam Description
NSE 6 認證
網絡安全專家稱號認可您在織物產品方面的綜合技能,超出
防火牆。在您在 Fortinet 增強版上獲得至少四項 Fortinet 專家證書後,此稱號即被認可
產品。有關認證要求的信息,請訪問 Fortinet NSE 認證計劃頁面。
Fortinet NSE 6—FortiWeb 6.4 考試
Fortinet NSE 6—FortiWeb 6.4 考試是 NSE 6 網絡安全專家計劃的一部分,並證明
成功的候選人已經掌握了重要的知識和技能來部署、配置、管理、管理和監控
FortiWeb 設備可保護 Web 應用程序服務器免受威脅。
該考試將測試考生在日常基礎和高級配置方面的知識和技能
管理,並使用 FortiWeb 保護 Web 應用程序免受威脅。
觀眾
Fortinet NSE 6—FortiWeb 6.4 考試面向參與配置的安全專業人員,
FortiWeb 設備在小型到企業部署中的管理、管理、監控和故障排除
Exam Details
Exam name Fortinet NSE 6—FortiWeb 6.4
Exam series NSE6_FWB-6.4
Time allowed 60 minutes
Exam questions… Continue reading