一、护网红蓝队介绍

1.1、网络安全大事件

1.2、护网行动由来

• 护网行动介绍
  • 2016年，公安部会同民航局、国家电网组织开展了**“护网2016”**网络安全攻防演习活动。同年《网络安全法》颁布并出台网络安全演练相关规定，制定“网络安全事件应急预案，定期进行演练”。自此“护网行动”进入人们视野关键信息基础设施的运营，成为网络安全建设重要的一环。
  • 网传的HW指的就是护网，从2020年起就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。
  • 护网攻防演练这个概念是从2016年开始有的，在国家相关网络安全监管机构的推动下，网络安全演习工作日益得到重视。演练分为：红队和蓝队，由红队担任攻击方、蓝队担任防守方，通过一定规则限制下进行实战网络攻防演练，即红蓝对抗。

1.3、护网行动中的角色

二、红队介绍

• 红队-网络实战攻防演习中的攻击方。
  • 红队会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。
  • 攻击时只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。要求实际获取系统权限或系统数据并且可以在一定范围内使用社工手段。
  • 通常会以3人为一个战斗小组，对其成员的能力要求往往是综合性的、全面性的。
  • 不仅要会熟练使用各种工具，还要熟知目标系统及其安全配置，并具备一定的代码开发能力，以便应对特殊问题。

2.1、红队所需技能

- 外围打点能力
- 钓鱼远控能力
- 漏洞挖掘能力
- 代码审计能力
- 漏洞分析能力
- 木马免杀能力
- 权限提升能力
- 内网渗透能力
- 权限维持能力
- 跨域渗透能力

2.2、红队攻击流程

三、蓝队介绍

• 蓝队-网络实战攻防演习中的防守方。
  • 蓝队是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。
  • 主要工作包括：前期安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据。
  • 通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度，提升防守能力。
  • 特别说明：蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担，而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍等多方组成的防守队伍。

3.1、蓝队所需技能

- 设备使用能力
- 入侵排查能力
- 交互监控能力
- 日志分析能力
- 分析研判能力
- 溯源分析能力
- 攻击辨别能力
- 社工搜索能力
- 流量分析能力
- 逆向分析能力

3.2、蓝队防守四阶段

3.3、蓝队前期准备

• 管理层面

  • 组建安全保障团队、制定安全保障承诺书、安全保障宣讲。

• 技术层面

  • 梳理暴露的在互联网的资产和业务、自查内网业务的各种安全漏洞、安全配置、弱口令、安全风险评估、安全整改等，全面协助对现网网络结构根据业务等级划分安全域，明确安全域边界提供整体安全。

四、常见安全厂商介绍

4.1、常见安全厂商

五、常见安全产品分类

六、常见安全产品介绍

6.1、防火墙发展历史

6.2、明御安全网关产品概述

明御®安全网关（DAS-Gateway）秉持安全可视、简单有效的理念，以资产为视角，构建“事前+事中+事后”全流程防御的下一代安全防护体系，是集传统防火墙、入侵防御系统、防病毒网关、上网行为管控、VPN网关、威胁情报等安全模块于一体的智慧化安全网关。

• 产品图片

• 产品使用界面

6.3、Web应用防火墙

6.3.1、Web应用面临风险

Web应用防火墙简称“WAF”，主要致力于提供应用层安全防护。
对HTTP/HTTPS应用数据深度检测分析，识别及阻断传统网络防火墙无法识别的WEB应用攻击行为。

6.3.2、网关安全类产品定位

6.3.3、WAF应用场景

七、项目基础概念

7.1、工程师项目职业素养体系

顺利完成一个项目的交付，工程师除了具备专业的技术能力以外，很多非技术维度的能力或素质也是很重要的，我们把这些能力称为项目职业素养。

7.2、IT工程类项目常见角色

7.3、IT工程类项目基本流程

八、职业化思维

养成良好的职业化思维和习惯，有助于提升职业素养，帮助自己走得更远。

九、注意事项

9.1、现场注意事项

• 认真完成自己的任务，如果出现问题是需要承担对应责任。
• 遵守项目现场各类规章制度，尤其是保密制度，做到不拍照、不泄密。
• 准时到岗，最好提前到岗，护网期间门禁较为严格。
• 按时吃饭，该放松时放松，值守时间很长。
• 注意身体状况，如有异常及时反馈、请假，但千万不能旷工。

9.2、猝死症状

猝死：从发病一直到死亡的时间不超过6小时，往往没有任何先兆。猝死通常是心冠病、心肌病、高血压等心血管疾病引起的精神恍惚、无意识、甚至死亡。人要猝死时，前期可能有如下信号：

• 反复晕厥：在长期熬夜加班、劳累过度后，如果出现反复晕厥的症状，大概率是猝死前的信号，需要尤为注意。
• 间断性胸闷、胸痛：出现胸闷、胸痛等症状，发作持续时间不长，经休息后症状自行消失，这种情况通常成为梗死前心绞痛，需要引起高度重视。
• 上述症状加重：猝死的主要原因是心源性猝死，冠心病或其它恶性心律失常引起的心脏骤停或急性心衰竭。当发现不明原因的心慌、憋气、气促、心悸等症状时，应及时就医。
• 其它症状：本身存在心血管基础疾病时，出现多处部位疼痛、肠胃道症状、心跳加速等情况时，也需要提高警惕