同样是网路,昨天是基础篇,今天进阶篇~
其实,我自己网路没有很熟XD
而且我都是从攻击者角度去看,今天这边我自己的想像是从蓝队角度去看较多,
先前面试也是遇到许多奇奇怪怪der问题,你的Server要怎麽防御之类的,
当下只是觉得,问题怎麽听起来有点模糊QQ
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
VLAN是一种可以将实体的网路设备进行逻辑上的区域网路分区的技术。使用VLAN有两个原因,网路的效能与安全,可以利用VLAN来限制广播网域,提升效能,也避免封包传送到不必要的网段。
假设Switch的两个Port利用一条网路线对接,当发出了广播封包时,这个封包从其中一个Port传到另一个Port,收到封包的Port又会再传广播封包出去,形成一个内部回圈,会导致Switch无法正常运作。有支援STP机制的Switch都可以预防loop。
SDN是软件定义网路,简单来说就是把虚拟化的概念带进了网路,与传统网路直接连到每个网路设备中管理不同,SDN架构设计理念是中央控制,管理员可以利用中央控制方式去管理或是重新规划网路。
VPN是虚拟专用网路,是一种利用Tunneling来封装加密流量的技术,例如一般使用者可以利用VPN来隐匿自身IP,企业用户则可以利用VPN技术让远端的员工於网际网路中,也可以连线到公司内部网路中。窝不知道怎麽设计QQ,可能要先说说这个VPN用途是要干嘛der
防火墙的HA有3种工作模式,分别为Active-Passive(A/P、AS)(Active Standby)模式、Active-Active(A/A)模式和Peer模式。听说A/P模式下,若主要的FW挂了,会需要短暂的时间进行切换(网路听说数分钟,但又听我朋友说几秒钟就可以XD);A/A模式下,要进行Debug或是安全事件追查,比较麻烦。
LB是负载平冲,利用一个Load balancer server做reverse proxy,将流量分配给後端的服务器,目的是达到流量的分流。网站如果有身分认证的机制,在规划时要注意Session共享的机制。
参考一些国际标准、框架、或是Cheat Sheet,来达成安全防御的设计与规划,尽可能达到全面性的防护,避免有所遗漏。不管是政策面还是技术面都要顾及,可以参考像是ISO 27001、SANS网路防御、NIST安全框架、CDN框架等等。
国际知名大厂的云端硬碟,利用企业用帐号限制存取控制,只有公司内部的帐号可以存取。
不能用HUB(虽然现在应该没有HUB惹)。MAC绑IP,不要允许有未授权的MAC出现。
要,可以观察每日流量变化,如果有异常流量可以稍微注意是不是有出甚麽事情。网路设备应该都会有流量纪录吧。
有玩过开源工具Snort,可以自行写Pattern找出封包中可能的网路攻击或是异常行为。
关於IPS/IDS/WAF或是其他资安设备与产品等等,如果有机会,之後会挑一天写~
若有要补充也都欢迎留言
<<: Day 17 - Sorting Band Names without articles
展开运算子及 其余运算子( 又称 其余参数 ) 他们有共通特点,那就是「 都跟阵列有关 」 写法...
看完这篇文章你会得到的成果图 此篇文章的范例程序码 github https://github.co...
上一篇先介绍运用的知识点,这篇会着重在实作时的心路历程...不是啦,是怎麽把这个网页写出来的。先上成...
昨天我们通过Unity官方提供的"UnityDownloadAssistant-20xx....
针对属性路由可以透过Route() 或 Http verbs方式来设置路由模板 在路由模板当中我们还...