企业安全建设入门：基于开源软件打造企业网络安全

　　互联网公司的防护体系的建立，涉及WAF、抗D和服务器主机安全等；
　　业务网的基础安全加固，包括资产管理、补丁管理、操作系统加固等；
　　常见的几种威胁情报源的获取方式；
　　包括如何使用Kong保护API接口；
　　如何使用RIPS做PHP代码审计；
　　几种常见的开源蜜罐的使用方法，如Glastopf、Kippo、Elasticpot和Beeswarm等；
　　如何使用开源软件做漏洞扫描、入侵检测；
　　如何使用开源软件建设SOC系统；
　　如何使用DBProxy充当数据库防火墙、使用mysql-audit进行主机端数据库审计、使用MySQLSniffer进行数据库流量审计；
　　如何基于开源软件开发办公网的准入系统。

　　刘焱 百度安全实验室资深研究员，AI安全产品架构师，研究领域主要包括AI安全、IOT安全、Web安全。原百度安全Web安全产品线负责人、基础架构安全负责人；FreeBuf、雷锋网专栏作家、i春秋知名讲师，多次在OWASP 、电子学会年会发表演讲，参与编写全国信息安全标准化技术委员会发布的《大数据安全标准白皮书》；“兜哥带你学安全”创始人；著有AI安全领域三部曲：《Web安全之机器学习入门》《Web安全之深度学习实战》《Web安全之强化学习与GAN》。

版权信息
对本书的赞誉
序
前言
第1章 开源软件与网络安全
1.1 开源软件重大事件
1.2 国内外安全形势
1.3 开源软件与网络安全
1.4 本章小结
第2章 业务网纵深防御体系建设
2.1 常见防御体系
2.2 WAF概述
2.3 常见WAF部署模式
2.4 自建WAF系统
2.5 自建分布式WAF系统
2.6 抗DDoS攻击
2.7 应用实时防护（RASP）
2.8 本章小结
第3章 业务网安全加固
3.1 安全区域划分
3.2 主机加固
3.3 主机级安全资产管理
3.4 本章小结
第4章 威胁情报
4.1 常见的开源威胁情报源和指示器
4.2 天际友盟
4.3 微步在线
4.4 Cymon.io
4.5 PassiveTotal
4.6 威胁情报与SOC系统联动
4.7 本章小结
第5章 业务安全
5.1 开源业务安全软件概述
5.2 API网关Kong
5.3 开源风控系统Nebula
5.4 本章小结
第6章 代码审计
6.1 开源代码审计软件
6.2 自建代码审计系统
6.3 本章小结
第7章 蜜罐与攻击欺骗
7.1 Web服务蜜罐Glastopf
7.2 SSH服务蜜罐Kippo
7.3 Elastcisearch服务蜜罐Elasticpot
7.4 RDP服务蜜罐rdpy-rdphoneypot
7.5 主动欺骗型蜜罐Beeswarm
7.6 蜜罐与SOC集成
7.7 自建与WAF集成的蜜罐系统
7.8 自建蜜罐系统
7.9 本章小结
第8章 态势感知系统建设
8.1 漏洞扫描
8.2 入侵感知概述
8.3 网络入侵检测
8.4 主机入侵检测
8.5 物联网IOT以及工控设备ICS入侵检测
8.6 敏感信息外泄监控
8.7 本章小节
第9章 SOC系统建设
9.1 SOC概述
9.2 开源SOC软件之OSSIM
9.3 开源SOC软件之OpenSOC
9.4 自建SOC系统
9.5 本章小结
第10章 数据库安全
10.1 数据库安全风险概述
10.2 数据库安全概述
10.3 开源数据库主机端审计mysql-audit
10.4 开源数据库流量审计MySQL Sniffer
10.5 开源数据库防火墙DBProxy
10.6 本章小结
第11章 办公网数据防泄露
11.1 数据保护的生命周期
11.2 数据防泄露产品
11.3 设备级
11.4 文件级
11.5 网络级
11.6 其他
11.7 本章小结
第12章 办公网准入系统和安全加固
12.1 准入核心功能
12.2 准入控制方式
12.3 自建准入系统
12.4 办公网安全加固概述
12.5 办公网安全隔离
12.6 办公网无线安全
12.7 办公网终端安全加固
12.8 办公网终端防病毒
12.9 办公网终端管理
12.10 典型案例——Wannacry蠕虫
12.11 本章小结

　　前言
　　十年前，因机缘巧合，我进入了安全这个行业，而且在一个公司干到现在。当时公司虽然已经很有名气，但是体量和现在比起来还是很小，安全防护体系还非常脆弱。我的第一个项目就是开发公司的准入系统，当时公司其实已经从国外购买了商业准入系统，而且号称是当时Gartner全球排名前几名的产品，但是在公司具体环境下这个系统却没有办法很好地运行，无论是易用性、可管理性甚至是基础的安全性，都出过问题。老外的售后支持也就那样，对出现的几次事故也没给出让人信服的解释。最后我们老大，也就是传说中“我的华为十年”那篇文章的作者家俊，决定自己开发准入系统。我们两个小伙伴初生牛犊不怕虎，硬是用三个月开发出了第一版，后面我们按照部门、楼层、总部大厦、分公司的顺序在全集团范围推广，这个系统已经服役到现在。也就是从这个项目起，我对开源软件产生了浓厚的兴趣，并尝试在后面的企业安全建设中使用，从SNORT、OSSIM、Kippo到OSSEC、OpenSOC、Kong等，我都调研或者使用过。坦诚讲，开源软件存在可管理性差、运营压力大等问题，尤其在专业性要求特别强的领域，比如APT、防火墙和硬件令牌领域，使用商业安全产品比自己研发工具性价比更高。但是开源软件容易上手、可高度定制、可扩展性强，事实上整个互联网就是基于开源软件发展起来的，使用开源软件在互联网公司做安全也是一个不错的选择。我最近三年主要负责公司对外的商业安全产品，我发现很多模块可以直接使用开源软件，比如Storm、Kafka、ELK、Celery、Hadoop、TensorFlow等，这些开源软件都可以让我们不重复造轮子，把精力放在更核心的安全检测能力和业务逻辑上。
　　本书的第1章概述开源软件和网络安全的关系。第2章开始介绍互联网公司的防护体系建设，涉及WAF、抗DDoS攻击和服务器主机安全。第3章介绍业务网的基础安全加固，包括资产管理、补丁管理、操作系统加固等内容。第4章介绍这几年非常火的威胁情报，并且从开发角度介绍了其中常见的几种威胁情报源的获取方式。第5章介绍业务风控，并详细介绍了如何使用Kong保护API接口。第6章介绍代码审计，并详细介绍了如何使用RIPS做PHP代码审计。第7章介绍蜜罐的相关知识，并详细介绍了几种常见的开源蜜罐的使用方法，包括Glastopf、Kippo、Elasticpot和Beeswarm。第8章介绍态势感知系统，并分别介绍了如何使用开源软件做漏洞扫描、入侵检测。第9章介绍如何使用开源软件建设SOC系统，整个架构都是基于OpenSOC的。第10章介绍数据库安全，并详细介绍了如何使用DBProxy充当数据库防火墙，使用mysql-audit进行主机端数据库审计，使用MySQL Sniffer进行数据库流量审计。第11章介绍办公网如何防止数据泄露。第12章介绍如何进行办公网加固和基于开源软件开发准入系统。
　　本书的每个章节都会介绍国内外对应的一些商业安全产品，国外厂商列表主要来自业内比较认可的Gartner发布的数据，国内数据主要来自“安全牛”的安全全景图，大家可以根据实际情况选择使用商用产品还是基于开源软件DIY。本书并不是介绍商业产品的黄页，而且安全创业公司近几年如雨后春笋般成长，所以有遗漏之处敬请原谅。
　　我一直有个想法就是用我写书的钱开一个烧烤店，虽然目前看开个烧烤摊也勉强，但是我会继续努力，所以本书的演示环境都是基于我假想的在线烧烤网站www.douwaf.com，该网站基于Nginx＋PHP＋MySQL架构，部署了phpMyAdmin和WordPress，整个环境在我购买的云主机上。
　　在这里我要感谢我的家人对我的支持，本来工作就很忙，没有太多时间处理家务，写书以后更是花费了我大量的休息时间，我的妻子无条件承担起了全部家务，尤其是照料孩子方面的繁杂事务。我很感谢我的女儿，写书这段时间几乎没有时间陪她玩，她也很懂事的自己玩，我也想用这本书作为她的生日礼物。我还要感谢编辑吴怡对我的支持和鼓励，让我可以坚持把这本书写完。最后还要感谢各位业内好友在编写本书时对我的各种形式上的支持，排名不分先后：聂君@安信证券、Killer@腾讯、刘长波@云堤、云舒@默安科技、薛峰@微步在线、大路@天际友盟、林榆坚@安赛、廖威@易宝支付、sbilly@360、帮主@运维帮、赵广@运维派、张婉桥@360。最后我还要感谢我的亲密战友哲超、新宇、子奇、月升、张琳、碳基体、刘超、王胄、吴梅，以及曾经一起的战友徐家俊、黄颖、冯永校、林健、刘秀英、王龙、阮小伟、程伟、彭正茂、刘永树、李亚强、吴登辉、张雨霏、高磊、邵杨民、王致桥、赵铁壮、张浩、刘铁铮、张东辉、李婷婷、程岩、宋柏林、王志刚、吴圣、刘袁君、王珉然，咸鱼。
　　本书面向运维和安全行业从业者，以及信息安全爱好者、开源技术爱好者。我平时在Freebuf专栏以及“i春秋”分享企业安全建设以及人工智能相关经验与最新话题，同时也运营我的微信公众号“兜哥带你学安全”，欢迎大家关注并在线交流。本书使用的代码和数据均在GitHub上发布，对应地址为：https://github.com/duoergun0729/4book，代码层面任何疑问可以在GitHub上直接反馈。本书的写作时间主要集中在晚上十一点以后，难免会有错漏之处，恳请大家将发现的错别字和表述有误的地方反馈给我，我会在后面的版本中改正。

　　1.1 开源软件重大事件
　　1.盘古开天地之GNU计划
　　1983年9月27日，理查•斯托曼发起GNU计划，GNU成就了开源和自由软件在今日的繁荣昌盛。1985年理查•斯托曼又创立了自由软件基金会来为GNU计划提供技术、法律以及财政支持。随着时间的推移，GNU计划产生了不计其数的开源软件，GNU通用公共许可证（GPL）也随之诞生。这时候的GNU软件中就差一个OS内核尚未完成。1992年Linux与其他GNU软件结合，完全自由的操作系统正式诞生。
　　2.石破天惊之Linux
　　1991年的年初，林纳斯•托瓦兹开始在一台386兼容机上学习minix操作系统。
　　1991年4月，林纳斯•托瓦兹开始酝酿并着手编制自己的操作系统。
　　1991年7月，第一个与Linux有关的消息是在comp.os.minix上发布的。
　　1991年的10月，林纳斯•托瓦兹在comp.os.minix新闻组上发布消息，正式向外宣布Linux内核的诞生。
　　1993年，大约有100余名程序员参与了Linux内核代码编写工作，其中核心组由5人组成，此时Linux 0.99的代码大约有十万行，用户大约有10万左右。也许当时谁也不会想到，Linux会在未来的几十年深刻改变了世界。
　　3.雨后春笋
　　在Linux出现后的几十年里，各种开源软件如雨后春笋般出现，它们深刻改变着互联网的面貌。
　　1993年，红帽成立；
　　1994年，MySQL启动；
　　1996年，Apache称霸互联网；
　　2005年，Hadoop横空出世；
　　2010年，OpenStack出现；
　　2015年，TensorFlow开始流行。
　　1.2 国内外安全形势
　　2016年4月，CNCERT监测发现一个名为“Ramnit”的网页恶意代码被挂载在境内近600个党政机关、企事业单位网站上，一旦用户访问网站就有可能受到挂马攻击，对网站访问用户的PC主机构成安全威胁（见图1-1）。Ramnit恶意代码是一个典型的VBScript蠕虫病毒，可通过网页挂马的方式进行传播，当用户浏览含有Ramnit恶意代码的HTML页面时，点击加载ActiveX控件，用户主机就很有可能受到恶意代码的感染。
　　2016年5月，俄罗斯黑客成功制造了一场大规模的数据泄露事故。在此次网络攻击中，黑客盗取了2.723亿个账号，以俄罗斯最受欢迎的电子邮件服务Mail.ru用户为主，此外还有Gmail地址、雅虎以及微软电邮Hotmail用户。路透社称，数以亿计的数据目前正在“俄罗斯的地下黑市”出售。
　　2016年10月，提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击，攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Spotify和Shopify。攻击导致这些网站一度瘫痪，Twitter甚至出现了近24小时无访问的局面。
　　2016年11月，希拉里因“邮件门”最终落败美国总统竞选。希拉里在担任国务卿期间，从未使用域名为“@state.gov”的政府电子邮箱，而是使用域名为“@clintonemail.com”的私人电子邮箱和位于家中的私人服务器收发公务邮件，涉嫌违反美国《联邦档案法》关于保存官方通信记录的规定。希拉里被美国联邦调查局（FBI）调查，民众支持率节节下降。
　　1.3 开源软件与网络安全
　　开源软件核心是一种崇尚自由和技术的黑客精神，理查•斯托曼和林纳斯•托瓦兹就是著名黑客。开源软件在促进互联网发展的同时，也为互联网安全提供了强大支持。
　　1.PDR与P2DR模型
　　PDR模型是由美国国际互联网安全系统公司（ISS）提出，它是最早体现主动防御思想的一种网络安全模型。PDR模型包括Protection（保护）、Detection（检测）、Response（响应）三个部分。
　　保护就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。