安全场景:网络入侵检测
通过自主研发或者第三方安全软件对流量做全面检查,确保能够捕获所有可能存在的安全漏洞和入侵威胁,以便更快速的检查和响应攻击。
说明:2024年03月30日前免收流量处理费。
1、NDR 一般需要配置管理网络和流量分析网络,如果管理网络使用生产环境已有的网 络,只需创建流量分析网络。建议在阿里云交换机上创建一个新的交换机给 TDP 流量分析 使用。
2、创建方法如下图所示。
1、本次使用阿里云的流量镜像服务,TDP 虚拟机必须选择以下的 ECS 实例才能支持流量 镜像服务。详细请看 https://help.aliyun.com/zh/vpc/user-guide/create-and- manage-traffic-mirror-sources?spm=a2c4g.11186623.0.0.638d334290ekYO选择的 ENI 实例必须属于以下 ECS 实例规格族:r5、hfg6、c6、c6a、g5ne、g6se、 c5、g6、g6a、hfr6、r6、r6a、g5、g5ne、hfc5、hfg5、hfc6、g7ne、g7a、g7、 g7t、g6t、g6e、c7a、c7、c7t、c6t、c6e、r7a、r7、r7t、r6e、hfc7、hfg7、hfr7、 gn7i、ebmc6a、ebmc6e、ebmg6a、ebmg6e、bmr6a、ebmr6e、ebmhfg7、 ebmhfc7、ebmhfr7g7、gn6v、gn6i、ebmg5s。
2、创建 ECS 的方法很多,假如使用现有的网络做 TDP 管理网络,可在交换机上进行 ECS 实例创建。如下图所示:
3、ECS 付费模式根据自己的需求进行选择,地域及可用区必须与现有的 ECS 服务器群在 同一个区(跨区可能流量镜像服务收费更贵,性能更差)
4、可选择内存型的 ECS 实例,例如 R7 16vcpu 128G 组合。
5、购买数量选择 1 台,操作系统选择 CentOS 7.6 版本,存储增加 1024G 5 万 IOPS 的 云盘,详细请看下图。
6、选择对应的网络和私有 IP 地址,填写对应的 IP 地址。安全组选择现有的或新建安全 组。
2、配置入站出站全部协议允许(可咨询你们的阿里云系统管理员配置)
1、ECS 默认只创建 1 个虚拟网卡,TDP 至少需要 2 个网卡(管理网络和流量分析网络), 可在弹性网卡中创建 1 个新的流量分析网卡,并绑定到 TDP 的 ECS 实例。
https://vpcnext.console.aliyun.com/vpc/cn-beijing/vpcs
2、在左侧导航栏,选择运维与监控 > 流量镜像 > 镜像会话。
3、在顶部菜单栏,选择镜像会话的地域。在镜像会话页面,单击创建镜像会话。
13、镜像源选择需要流量分析的 ECS 实例(如果有多张网卡 ECS 要选择对应网卡)
18、到这里流量镜像会话已配置完成,Demo 环境用 wireshark 进行验证,能看到监控的 服务器流量。
https://help.aliyun.com/zh/vpc/user-guide/traffic-mirroring-overview
https://help.aliyun.com/zh/vpc/user-guide/create-and-manage-traffic-mirror-sources?spm=a2c4g.11186623.0.i1#task-2056542
https://help.aliyun.com/zh/ecs/user-guide/options-for-dealing-with-centos-linux-end-of-life
原文始发于微信公众号(无限手套Infinity Gauntlet):NDR阿里云部署实操
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1944258.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论