互联网安全建设从0到1

本书详细介绍互联网安全建设的方法、工具、实践，包含互联网整体防御功能的建设，涉及网络安全的方方面面，主要内容包括：主机安全、网络安全、开发安全、运维安全、内网安全、日志分析、安全平台、安全监控、应急响应、业务安全、风控体系建设、数据与隐私安全、安全体系建设等。

适读人群 ：1.网络安全技术人员、管理人员2.网络应用开发人员
这是一本适合从安全小白到企业安全负责人阅读的安全书籍，作者将自己多年丰富的安全经验融入此书，通俗易懂，雅俗共赏，既可作为安全工程师的工具手册，解决各类常见安全问题，也可以指导安全负责人如何从0到1系统地建设企业安全体系，非常值得推荐。

笔者从事安全行业工作近10年了，也参加过大大小小的安全会议，并担任过一些会议的演讲嘉宾，听到最多的问题是如何在甲方进行安全工作。确实，笔者刚加入当当网进行安全工作时，也是一头雾水，不知道该从哪里下手。对于一个刚进入安全行业，尤其是加入甲方工作的安全从业者来说，该怎么去做，该从哪里开始，是一件比较棘手的事情。因此笔者才想借此机会，将自己的工作经验写出来，也希望给安全行业做点微小的贡献。
笔者认为，安全行业有一个特别之处：直接与人对抗，不仅需要非常扎实的技术及理论基础，而且需要对人性有所认识。因此需要不断地学习，不断地实践。对于理论知识的学习而言，现在互联网十分发达，可以非常容易地找到需要学习的内容（不过网上内容良莠不齐，需要通过实践进行辨别）；对于实践，网上也有很多靶机，亦可以很方便地使用。除此之外，笔者也推荐使用VMware和dynamps等模拟器，灵活使用这两个工具，几乎可以组建所有类型的网络环境，本书里的实验内容大多用到了以上两个工具。
除了学习外，笔者还认为做安全应深入一线，在对抗中发现问题，这样才能保持对安全的敏感度。
另外，在安全的攻防对抗中，尽管攻方容易成为耀眼的明星，但防守方也可以非常出色。既然选择了防守，便意味着担当了守卫的责任，我的身后便是信任我的人、我的公司，我当尽全力去守护。本书结合了笔者多年的防御经验，从各个方面讲述了如何做好防守工作。
全书共12章：第1～8章为基础安全部分，主要介绍日常的安全工作，建立防御系统，抵御黑客入侵；第9～11章为业务安全部分，主要介绍互联网常见业务安全相关内容；第12章介绍如何构建安全体系。
每章内容简介如下：
第1章　网络安全，介绍运维涉及的网络安全的基础内容，包括流量镜像、抓包、网络入侵检测系统等。
第2章　运维安全，介绍运维涉及的常用组件、云上安全，以及一些安全建议。
第3章　主机安全，包括Windows、Linux系统方面的安全内容，同时也介绍了主机入侵溯源分析、入侵检测系统及使用方法。
第4章　办公网安全，介绍办公网方面的一些安全技术，包括准入、隔离、DHCP　Snooping等相关技术。
第5章　开发安全，介绍与开发安全相关的内容，包括SDL、OWASP、自建扫描器等。
第6章　日志分析，介绍日志分析相关的技术与工具，以及日志分析的一些思路和建议。
第7章　安全平台建设，介绍如何组建安全平台部门及部门的日常工作内容。
第8章　安全监控，围绕监控体系建设展开，还介绍了个人对ATT&CK的一些看法。
第9章　隐私与数据安全，介绍GDPR及相关工作，以及数据安全方面的内容。
第10章　业务安全，主要介绍账号、支付、内容等互联网常见应用的安全技术。
第11章　风控体系建设，介绍设备指纹、风控系统搭建，以及与羊毛党对抗的案例。
第12章　企业安全体系建设，介绍如何建立一个符合公司业务发展需求的安全体系，以及如何衡量安全体系的好坏。
由于笔者在移动安全方面涉及不深，本书内容缺少了这个部分，也算是一个小小的遗憾。
致谢
在这里要衷心地感谢我的领导、我很敬佩的安全圈前辈孙明焱（CardMagic），他在日常工作中给了我很大的信任并提供了很多帮助与支持，在百忙之中，还给本书写了序。感谢胡珀（lake2）@腾讯，腾讯安全在业内称得上是行业标杆，也是我学习的榜样，感谢他给本书写了序。感谢张耀疆@安在为本书作序，我们虽然暂未谋面，但可以看到安在在他的带领下不断为安全领域输出各种有价值的内容，祝愿他的平台越来越好。感谢饶琛琳（三斗室）@日志易，在我初学Logstash时，不厌其烦地解答我提出的很多问题，也算是我学习ELK的启蒙老师。感谢我的CCIE老师秦柯（现任明教教主）@乾颐堂，我在网络安全方面的技术，很多都是跟他学的，同时他也被誉为“CCIE制造机”。
感谢机械工业出版社的吴怡编辑，她非常仔细地修改了我写的每一个字，提出了很多修改建议，她是一位非常认真负责的好编辑，感谢赵亮宇编辑对本书进行编辑工作，也感谢出版流程中的所有工作人员。
感谢所有我任职过的公司以及我的团队，是他们给了我锻炼、学习、成长的机会，也给了我帮助与支持。
还要感谢同行对我的帮助，他们分别是（排名不分先后）：郑歆炜（Cnhawk）、马传雷（Flyh4t）@同盾、张坤（bloodzer0）@毕马威、黄乐（企业安全工作实录）@央视网、靳小飞@vipkid、聂君（君哥的体历）@奇安信、赵弼政（职业欠钱）@美团、王永涛（Sanr）、马金龙（吗啡）@新浪、秦波（大波哥）@滴滴、王任飞（avfisher）@华为、王昱（猪猪侠）@阿里、游小波@西海龙湖、黄梦娜（Mils）@兴业银行、凌云（linkboy）@携程、张迅迪（教父）@阿里、杨勇（coolc）@腾讯，等等。
另外，感谢北洋舰队的朋友，在我刚入门安全领域时，他们把攻击的经验分享给我，我才可以从防御角度思考问题出在哪里，如果是我做防御该去如何应对。感谢“蓝星最强技术扯淡公益群”的所有群友及所有给过我帮助的朋友们。同时要声明，本书的一些素材来源于互联网，在此对原作者一并表示感谢。
最后感谢我的家人，尤其是我的妻子，在我写书的漫长时间里承担了繁重的家务，默默地支持着我，让我可以专心写完此书，兑现了我要写一本书的承诺。也感谢我的女儿，小家伙在我写书的过程中很乖巧、听话，为我提供了良好的写书环境。
尽管笔者尽量保证书中不出现错误，书中每个实验都是自己完成后再编写内容，但是由于技术水平和能力有限，难免会有错漏之处，在此，笔者恳请读者不吝指正。关于错误内容可以反馈至[email protected]中，笔者也会通过微信公众号“安全防御”（anquanfangyu）发布勘误。欢迎读者与笔者一起交流安全技术。
献给特别的朋友们
2017年，我组建了一个梦之队，这个团队的成员几乎都是安全行业内的高手，我们一起完成了一个又一个挑战—从无到有建立了安全防御系统、风控系统，在一次活动中挽回了9亿活动币，避免了近百万元的损失，等等。但是，由于公司业务不佳，大家最后各奔东西，这也让我深刻地理解到安全团队的定位——为业务服务，否则一切都失去了意义。虽然目前梦之队的队员们分散在不同的公司，但是在我写这本书时他们都非常支持我，给了我很多帮助，感觉又一次在一起合作了。本书中也包含了这个团队的实战经验，因此我将这段回忆写在这里，献给这群特别的朋友们。
2017年还有一天就结束了，这也是我发的第一个朋友圈，是为了我的团队兄弟们发的。你们每个人在我看来都是非常棒的！大牛（宗悦：rootsecurity@京东），就好比一个屏障，在运维安全和系统配置方面独当一面；董川，以前只写运维脚本，现在是Storm、Spark、实时处理大数据全能；土豪（陈锋卫@民生），优秀的前端和超级的PHPer，每个系统都有你的功劳；奇哥（陈奇@宜信），没有你就没有我们的基础数据，一再地改善抓包性能，使丢包率更少，你功不可没；超哥（吴业超@360）的贡献为我们创造了非常大的便利，也让咱们的漏洞平台看起来很专业；感谢小侯（侯芳芳），从没入职的时候到现在一直帮我改PPT，还有27000的项目也非常尽责；神奇的猫爷（王振飞：加菲猫@道享）总能给我们带来非常实用的工具，比如扫描器、扫码登录；神一样存在的梁大神（梁宛生：花生@道享）简直就是漏洞发掘专家，你对飞凡的贡献我不会忘记；马老板（马鑫@锦江），优秀的产品经理加数据分析师，你的PRD写得非常专业；玄妹子（玄银星@道享）的月报写得也是越来越好，跟踪漏洞也不让我操心；还有吴总（吴淳@百度），虽然你的Kibana是后学的，但也发现了很多异常，在对刷单的识别方面已经算火眼金睛了，希望有机会还能一起打球；小妹（王小妹@京东云）和小杨（杨智@政采云），你们虽然来的时间短，但是也能很快适应工作，发挥自己的作用，为咱们补了短板；还有邱大神（邱永永@华为）也算是飞凡盾的创始人了，一个人完成了那么复杂的逻辑功能；当然也感谢县长（张宏勇@丙晟）对我们的帮助和照顾。虽然我们受到一些众所周知的情况影响，但和大家在一起共事真的非常开心。你们任何一个人的离开都是公司的损失。感谢你们每个人的付出。感谢你们每个人对我的支持和理解，不管将来怎样，我都会永远记得大家。

本书赞誉
序一
序二
序三
前言
第1章　网络安全 1
1.1　网络流量的收集 1
1.1.1　最传统的抓包方式libpcap 2
1.1.2　scapy 5
1.1.3　gopacket 6
1.1.4　丢包与性能提升 6
1.1.5　PF_RING、DPDK与af_packet 7
1.2　Web流量的抓取方式 8
1.2.1　TCP流还原 8
1.2.2　HTTP 11
1.2.3　使用packetbeat抓取网络流量 11
1.2.4　其他方案 12
1.2.5　一些常见问题 12
1.3　其他流量收集方式 14
1.3.1　tcpdump 14
1.3.2　Wireshark 15
1.3.3　tshark 20
1.4　开源网络入侵检测工具Suricata 21
1.4.1　Suricata安装 22
1.4.2　Suricata suricata.yaml 配置介绍 23
1.5　DDoS简介及检测 32
1.5.1　DDoS基本防御手段 34
1.5.2　建立简单的DDoS检测系统 35
1.6　本章小结 36
第2章　运维安全 37
2.1　Web组件安全 37
2.1.1　Nginx安全 37
2.1.2　PHP安全 42
2.1.3　Tomcat 安全 43
2.2　其他组件安全 43
2.2.1　Redis安全 43
2.2.2　Elasticsearch 安全 44
2.2.3　其他相关组件：Kafka、MySQL、Oracle等 46
2.3　上云安全 46
2.3.1　流量获取 46
2.3.2　边界管理 50
2.3.3　云存储安全 51
2.3.4　小结 52
2.4　其他安全建议 52
2.5　本章小结 53
第3章　主机安全 54
3.1　Windows主机安全 54
3.1.1　Windows主机补丁 54
3.1.2　补丁管理工具WSUS 55
3.1.3　Windows系统加固建议 58
3.1.4　Windows经典漏洞简介 60
3.2　Windows入侵溯源分析 61
3.2.1　系统 62
3.2.2　服务 63
3.2.3　文件 66
3.2.4　网络 68
3.3　Linux主机安全 69
3.3.1　Linux补丁 69
3.3.2　Linux系统加固建议 69
3.3.3　bash安全设置 72
3.3.4　Linux经典漏洞介绍 74
3.4　Linux入侵溯源分析 75
3.4.1　系统 75
3.4.2　服务漏洞检查 81
3.4.3　恶意进程排查 83
3.4.4　文件 83
3.4.5　网络 84
3.5　主机入侵检测系统 85
3.5.1　OSSEC简介及其应用 85
3.5.2　商业Agent 99
3.5.3　其他主机Agent简介 103
3.6　本章小结 105
第4章　办公网安全 106
4.1　办公网安全总览 106
4.1.1　设备安全 106
4.1.2　网络安全 107
4.1.3　无线安全 111
4.1.4　人员安全 111
4.1.5　DNS监控 111
4.1.6　物理安全 115
4.2　Windows域控安全 115
4.2.1　SYSVOL与GPP漏洞 115
4.2.2　不要轻易在其他机器中使用域控密码 116
4.3　网络准入控制技术 117
4.3.1　802.1X 117
4.3.2　Windows 网络策略和访问服务 118
4.3.3　网络策略服务器 119
4.3.4　Cisco 2500无线控制器+NAS + AD实现802.1X 121
4.3.5　有线交换机+NAP实现802.1X 131
4.3.6　Portal登录 134
4.4　其他办公网络安全技术 142
4.4.1　DHCP Snooping简介和配置 142
4.4.2　DAI简介及配置 145
4.5　浅谈APT攻击 147
4.5.1　防御阶段 148
4.5.2　防御节点 150
4.6　本章小结 151
第5章　开发安全 152
5.1　SDL 152
5.2　代码安全 153
5.3　漏洞扫描系统建设 156
5.3.1　业务丰富型企业的扫描系统建设 156
5.3.2　业务单一型企业的扫描系统建设 163
5.4　扫描系统运营 164
5.5　本章小结 165
第6章　日志分析 166
6.1　Web日志分析 166
6.1.1　常见Web服务器日志配置 166
6.1.2　常用的Web分析命令（Linux） 168
6.1.3　Web 日志分析思路 172
6.2　Windows日志分析 178
6.2.1　Windows 日志介绍 178
6.2.2　常见日志代码介绍 178
6.2.3　Windows日志分析工具介绍 183
6.3　Linux日志分析 195
6.3.1　Linux日志介绍 195
6.3.2　Linux重要日志详细介绍及相关命令解释 196
6.3.3　配置syslog发送日志 198
6.4　日志分析系统ELK的介绍及使用 201
6.4.1　Logstash 201
6.4.2　Elasticsearch 203
6.4.3　Kibana 206
6.4.4　OSSEC+ELK 207
6.4.5　Suricata+ELK 211
6.5　本章小结 212
第7章　安全平台建设 213
7.1　设置安全层级 213
7.2　安全平台建设步骤 214
7.3　安全平台实现案例 216
7.3.1　日志分析平台 216
7.3.2　漏洞记录平台 220
7.4　其他安全工作 224
7.5　关于安全工作的一点心得 226
7.6　本章小结 227
第8章　安全监控 228
8.1　知己：了解自身 228
8.2　知彼：了解对手 232
8.3　监控策略 234
8.4　ATT&CK 241
8.5　本章小结 244
第9章　隐私与数据安全 245
9.1　GDPR介绍 245
9.2　企业针对GDPR的主要工作 246
9.3　国内个人信息数据安全相关规范 247
9.4　数据安全 248
9.5　数据保护影响评估系统简介 250
9.6　本章小结 253
第10章　业务安全 254
10.1　账号安全 254
10.1.1　账号安全问题 254
10.1.2　保护账户安全 260
10.2　支付安全 263
10.3　内容安全 264
10.4　其他业务安全 265
10.5　本章小结 265
第11章　风控体系建设266
11.1　羊毛党和黄牛 266
11.1.1　工具和角色 267
11.1.2　刷单类型 271
11.2　设备指纹系统 273
11.3　风控系统建设 278
11.3.1