一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
===================
如果要使用SSL并通过HTTPS提供RESTful API,则需要生成证书。实现这一目标的最快方法是通过自签名证书(Self-Signed Certificate),这对于开发模式来说已经足够了。
Java运行时环境(Java Runtime Environment, JRE) 提供了一个简单的证书管理工具一keytool。它位于JRE_ HOME\bin 目录下。以下代码中的命令将生成自签名证书并将其放入PKCS12 KeyStore。 除了KeyStore 的类型,开发人员还必须设置其有效性、别名和文件名。在开始生成过程之前,keytool 还会询问密码和一些其他信息,如下所示。
keytool -genkeypair -alias account-key -keyalg RSA -keysize 2048 -storetype
PKCS12 -keystore account-key.p12 -validity 3650
Enter keystore password:
Re-enter new password:
What is your first and last name?
[Unknown]: localhost
What is the name of your organizational unit?
[Unknown]: -
What is the name of your organization?
[Unknown]: piomin
What is the name of your City or Locality?
[Unknown]: Warsaw
What is the name of your State or Province?
[Unknown]: mazowieckie
What is the two-letter country code for this unit?
[Unknown] : PL
Is CN=localhost, OU-Unknown, 0-piomin, L-Warsaw, ST-mazowieckie, C-PL
correct?
[no]: yes
我们已将生成的证书复制到Spring Boot应用程序内的src/main/resources目录中。构建并运行应用程序后,它将在类路径中可用。要启用SSL,必须在application.yml文件中提供一些配置设置。通过设置各种servessl.*属性,可以为Spring自定义SSL.
server :
port: ${PORT: 8090}
ssl :
key-store: classpath:account-key.p12
key-store-password: 123456
key-store-type: PRCS12
key-alias: account-key
security:
require-ss1: true
保证发现服务器的安全
==========
如前文所述,微服务应用程序的SSL配置并不是- .项非常艰巨的任务。但是,是时候提高其难度等级了。我们已经启动一个通过HTTPS提供RESTful API的单一微服务。现在希望微服务与发现服务器集成。由此产生了两个问题。第一个是需要在Eureka上发布有关安全微服务实例的信息;第二个问题涉及通过HTTPS暴露Eureka 并强制发现客户端使用私钥对发现服务器进行身份验证。接下来我们将详细讨论这些问题。
注册安全的应用程序
=========
如果应用程序通过安全的SsL 端口公开,则应将EurekaInstanceConfig-nonSecurePortEnabled中的两个标志更改为false,将securePortEnabled 更改为true。这迫使Eureka发布实例信息,显示对安全通信的明确偏好。对于以这种方式配置的服务,SpringCloud DiscoveryClient将始终返回以HTTPS开头的URL,并且Eureka 实例信息将具有安全的运行状况检查URL。
eureka:
instance :
nonSecurePortEnabled: false
securePortEnabled: true
securePort: ${PORT:8091 }
statusPageUrl: https://localhost:S feureka. instance. securePort}/info
heal thCheckurl: https://localhost:s{ eureka. instance . securePort } /health
homePageUrl: https://localhost:$ leureka. instance . securePort}
通过HTTPS服务Eureka
===============
当Eureka服务器以SpringBoot启动时,它将部署在嵌入式Tomcat容器上,因而SSL配置与标准微服务相同。不同之处在于我们必须考虑客户端应用程序,该应用程序将通过HTTPS与发现服务器建立安全连接。发现客户端应该针对Eureka 服务器进行身份验证,并且还应验证服务器的证书。客户端和服务器之间的通信过程称为双向安全套接层(Two-way SSL)或相互身份验证(Mutual Authentication) 。还有单向身份验证,这实际上是默认选项,它只有客户端验证服务器的公钥(Public Key) 。
Java 应用程序使用KeyStore和trustStore存储与公钥对应的私钥( Private Key)和证书(Certificate)。trustStore和KeyStore之间的唯一区别是它们存储的内容和用途。执行客户端和服务器之间的SSL握手时,将使用trustStore验证凭据,而使用KeyStore 提供凭据。换句话说,KeyStore为给定的应用程序保留私钥和证书,而trustStore 保留用于从第三方识别它的证书。在配置安全连接时,开发人员通常不会过多关注这些术语,但正确理解它们可以帮助开发人员轻松了解接下来会发生什么。
在典型的基于微服务的架构中,有许多独立的应用程序和单个发现服务器。一方面,每个应用程序都有自己的私钥存储在KeyStore 中,并且证书对应于trustStore中的发现服务器的公钥。另一方面,服务器保留为客户端应用程序生成的所有证书。这就是现在的理论。如图12.1所示,它说明了在前面的章节中作为示例使用的系统的情况。
1. Keystore 的生成
在讨论了Java中的安全性基础知识之后,即可继续为我们的微服务生成私钥和公钥。和以前一样,我们将使用JRE下提供的命令行工具keytool。让我们从一个众所周知的用于生成带密钥对的keystore 文件命令开始,首先为发现服务器生成一个KeyStore,然后为一个选定的微服务(在这个特定示例中,我们选定的是account-service服务)生成第二个KeyStore。
keytool -genkey -alias account -store type JKS - keyalg RSA -keysize 2048 -
keystore account.jks -validity 3650
keytool -genkey -alias discovery -storetype JKS -keyalg RSA -keysize 2048 -
keystore discovery.jks -validity 3650
然后,必须将自签名证书从KeyStore导出到文件,例如,扩展名为.cer或.crt的文件。然后,系统将提示输入KeyStore生成期间提供的密码。
keytool -exportcert -alias account -keystore account.jks -file account. cer
keytool -exportcert -alias discovery -keystore discovery.jks - file
discovery. cer
鉴于已经从KeyStore中提取了与公钥对应的证书,因而现在可以将其分发给所有感兴趣的各方。来自account-service 服务的公共证书应包含在发现服务器的trustStore 中,反之亦然。
keytool - importcert -alias di scovery -keystore account.jks -file
discovery. cer
keytool - importcert -alias account -keystore di scovery.jks -file
account. cer
必须为在Eureka服务器中注册自身的每个后续微服务重复执行与account-service服务相同的步骤。以下是用于为order-service服务生成SsL密钥和证书的keytool命令。
keytool -genkey -alias order -storetype JKS -keyalg RSA -keysize 2048 -
keystore order.jks -validity 3650
keytool -exportcert -alias order -keystore order.jks -file order.cer
keytool - importcert -alias di scovery -keystore order. jks -file
discovery. cer
keytool - importcert -alias order -keystore discovery.jks -file
order. cer
2.配置微服务和Eureka服务器的SSL
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
8349
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
