![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
文章平均质量分 87
网络安全研发随想
这个作者很懒,什么都没留下…
展开
-
零信任和SASE深入理解--概念,架构和实现方案
零信任:新的思路,新的架构,新的实现方案原创 2022-12-21 17:32:12 · 2200 阅读 · 0 评论 -
SASE和零信任--傻傻分不清楚
随着企业网络架构的演进,相应的安全架构随之演进是很自然的事情。零信任和SASE概念正是反应了网络架构和安全架构伴生演变的过程。原创 2022-12-06 00:03:05 · 1130 阅读 · 0 评论 -
深入理解密码学基本概念和应用
现代密码学已经发展为包括随机数、Hash 函数、加解密、身份认证等多个课题的庞大领域,相关成果为联网奠定了坚实的安全基础。每个程序员都应该懂一些现代密码学。原创 2022-04-06 16:14:21 · 6020 阅读 · 0 评论 -
Istio安全架构--理解身份/认证/授权
Istio 安全的目标是:- 默认安全:应用程序代码和基础设施无需更改- 深度防御:与现有安全系统集成以提供多层防御- 零信任网络:在不受信任的网络上构建安全解决方案原创 2021-04-08 21:02:35 · 2457 阅读 · 0 评论 -
理解SDP软件定义边界--概念、架构、流程
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。原创 2021-03-09 14:49:27 · 4582 阅读 · 1 评论 -
安全的本质--理解CIA和AAA
任何应用最本质的东西其实都是数据,安全的本质就是保护数据被合法地使用。原创 2021-02-16 20:15:00 · 3646 阅读 · 4 评论 -
传统企业安全vs互联网企业安全vs云安全
使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。大型互联网企业安全不需要堆硬件盒子式的解决方案了,就算堆也不再是原来的堆法。原创 2021-02-15 12:09:08 · 421 阅读 · 0 评论 -
互联网公司的安全风险
互联网公司的特点是业务技术以Web和App为主。按照风险区域,可以分为在线业务和企业内部。原创 2021-02-14 17:34:13 · 2593 阅读 · 2 评论 -
CTF入门--题目介绍
CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。原创 2021-02-04 16:10:46 · 4534 阅读 · 2 评论 -
什么是零信任--用户/应用/设备--识别/认证/权限/信任
零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。原创 2021-01-28 18:16:51 · 3913 阅读 · 1 评论 -
常见web攻击方式与防御方法
跨站脚本攻击(XSS)跨站点请求伪造(CSRF)点击劫持ClickJackingSQL注入文件上传认证与会话管理原创 2021-02-01 10:28:57 · 1118 阅读 · 0 评论 -
polycube--基于ebpf/xdp的网络套件(网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器)
1. Polycube简介Polycube是基于Linux ebpf/xdp的开源软件框架,提供了快速,轻量级的 网络功能,例如网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器等。可以组合各个网络功能来构建任意服务链,并提供到名称空间,容器,虚拟机和物理主机的自定义网络连接。Polycube还支持多租户,可以同时启用多个虚拟网络。Polycube还提供了使用此框架构建的两个可运行的独立应用程序。PCN-K8S是Polycube基于CNI插件用于Kubernetes,它可以处理整个数据中心原创 2020-11-19 16:17:46 · 3419 阅读 · 2 评论 -
基于ebpf的防火墙--bpf-iptables
1. iptablesiptables应用广泛,但是存在一些问题:规则更新,需要重新创建所有规则规则匹配效率O(n)2. nftablesnftables于2014年提出,目标是替代iptables,它仍然基于netfilter。nftables集成了{ip,ip6,arp,eb}tables在用户空间代码改进了规则匹配算法但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。3. bpf-iptabl原创 2020-11-18 15:41:05 · 4166 阅读 · 1 评论 -
iptables总结--理解四表五链/snat/dnat/redirect/synproxy/性能
1. iptables四表五链四表五链:链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。1.1 四表filter表——过滤数据包Nat表——用于网络地址转换(IP、端口)Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表——决定数据包是否原创 2020-11-04 14:38:37 · 3380 阅读 · 1 评论 -
nginx简介--理解nginx配置/模块/openresty
Nginx最核心的功能是Web服务器和反向代理服务器。原创 2020-10-30 16:32:06 · 617 阅读 · 1 评论 -
Wazuh--一个完善的开源EDR产品
1. 简介Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。github: https://github.com/wazuh2. Wazuh平台的组件和体系结构Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu翻译 2020-09-11 18:40:47 · 9892 阅读 · 1 评论 -
dpdk的无锁环形队列Ring
1. DPDK Ring简介dpdk实现了一个无锁环形队列Ring,可用户不通dpdk不通应用程序之间进行通信。Ring支持的效果:先进先出最大大小是固定的,指针存储在表中无锁实现多消费者或单消费者出队多生产者或单生产者入队struct rte_ring {原创 2020-08-24 17:22:53 · 1456 阅读 · 1 评论 -
dpdk开发快速入门
1. dpdk概述DPDK的主要目标是为数据平面应用程序中的快速数据包处理提供一个简单,完整的框架。用户可以在其基础上进行原型设计或添加他们自己的协议栈。该框架通过创建环境抽象层(EAL)为特定环境创建了一组库创建EAL库后,用户可以与该库链接以创建自己的应用程序还提供了EAL之外的其他库,包括哈希,最长前缀匹配(LPM)和ring库提供了示例应用程序,以帮助向用户展示如何使用DPDK的各种功能2. 环境抽象层(EAL库)环境抽象层(EAL)提供了一个通用接口,该接口对应用程序和库隐藏了特定于环境原创 2020-08-24 16:45:37 · 5341 阅读 · 1 评论 -
端点检测和响应EDR与OSSEC
1. EDR的由来任何具有网络 IP 地址的设备,只要被允许与组织的网络进行交互,都是一个端点。下面是一些关键端点威胁:可执行文件包(恶意软件)潜在不受欢迎程序 (PUA),比如广告软件勒索软件,比如文件加密器和磁盘加密器(擦除器)基于漏洞的攻击和文件攻击,比如伪装后的文档(通常是经过精心制作或修改以造成损害的办公程序)和恶意脚本(通常是隐藏在合法程序和网站中的恶意代码)主动攻击技术,包括权限提升(攻击者在系统中获取额外访问权限的方法)、身份盗窃(窃取用户名和密码)和代码洞(将恶意代码隐藏在原创 2020-06-11 13:10:34 · 2536 阅读 · 0 评论 -
云安全相关技术介绍
1. 概述随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。从发展的脉络分析,“云安全”相关的技术可以分两类:一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security转载 2020-05-21 18:17:54 · 11167 阅读 · 0 评论 -
初探下一代SIEM核心技术发展趋势
1. 引言本文乃笔者从2005年接触SIEM到现在的一些感触,也算是抛砖引玉希望引起大家更多的讨论。这里所指的核心技术主要指有一定技术壁垒,承载SIEM产品核心能力的技术点。2. 传统SIEM产品现状从2000年左右开始有SIEM( Security Information and Event Management,安全信息与事件管理)产品崭露头角,也涌现出Arcsight这家雄霸Gartner SIEM MQ第一象限多年的现象级产品,但ArcSight从2011年开始在Gartner的领导者象限受到转载 2020-05-21 17:13:21 · 935 阅读 · 0 评论 -
Snort规则检测引擎--架构解析
规则头和规则选项snort将所有已知的攻击以规则的形式放在规则库中,规则库中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。规则选项包含:报警信息和异常包的信息 (特征码)这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...原创 2020-08-24 15:26:07 · 2004 阅读 · 0 评论 -
入侵检测规则匹配算法--单模匹配算法、多模匹配算法、hyperscan
入侵检测规则匹配算法,分为单模式匹配算法和多模式匹配算法。1. 单模式匹配单模式匹配,就是一个串跟一个串进行匹配,常见算法有:BM算法和KMP算法。1.1 BF (Brute Force)暴力匹配算法作为最简单、最暴力的字符串匹配算法,BF 算法的思想可以用一句话来概括,那就是,我们在主串中,检查起始位置分别是 0、1、2…n-m 且长度为 m 的 n-m+1 个子串,看有没有跟模式串匹配...原创 2020-04-10 01:24:28 · 9343 阅读 · 0 评论 -
入侵检测系统原理和实现
1. 入侵检测系统简介1.1 入侵检测分类按信息源分类根据信息源的不同,入侵检测技术分为基于主机型和基于网络型两大类。1)基于主机的入侵检测技术基于主机的入侵检测技术可监测系统、事件和WindowsNT下的安全记录,以及Unix环境下的系统记录。当有文件被修改时,入侵检测系统将采用新的记录条目与已知的攻击特征进行比对的技术,如果匹配,就会向系统管理员报警或者作出适当的响应。2)基于网络...原创 2020-04-08 17:12:35 · 20153 阅读 · 0 评论 -
suricata架构——数据结构和代码流程图解
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。数据结构流程参考:https://suricata.readthedocs.iohttp://www.hyuuhit.com/categories/suricata/https://blog.csdn.net/weixin_34253126/article/details/86442134htt...原创 2019-11-12 16:20:20 · 6537 阅读 · 0 评论 -
linux透明防火墙--br_netfilter
linux使用netfilter实现透明防火墙(桥接模式) 下图展示了透明防火墙下,netfilter的报文传送流程:原创 2017-04-17 16:41:11 · 8829 阅读 · 0 评论 -
常见web安全漏洞
1. cookie重要性cookie是浏览器用来判断用户登录状态的。一旦cookie被窃取,相当于别人不用你的用户名和密码,就已经登录了你的个人网站。2. 同源策略没有同源策略的危害早期的浏览器,没有同源策略。不同域名的javascript可以相互访问cookie。假设这么一种情形,你登录了某银行网站,没有关闭,就访问了另一个病毒网站,这个网站的javascript读取了你银行网站的co...原创 2018-11-13 00:57:09 · 2860 阅读 · 0 评论 -
基于DPDK+VPP实现高性能防火墙
为了提高性能,vpp数据平面由转发节点的有向图组成,每个调用处理多个数据包。此模式支持各种微处理器优化:流水线操作和预取,以覆盖相关的读取延迟,固有的I-cache阶段行为,矢量指令。除硬件输入和硬件输出节点外,整个转发图是可移植代码。根据手头的情况,我们经常启动多个工作线程,这些线程使用相同的转发图复制品处理来自多个队列的入口哈希数据包。VPP Infra - VPP基础设施层,包含...原创 2020-05-19 12:32:07 · 15871 阅读 · 1 评论 -
防火墙高可用性(HA)
双机热备防火墙高可用性也称双机热备,指基于两台设备的高可用性。双机热备的模式分为主备模式和主主模式。主备模式主-备方式即指的是一台设备处于某种业务的激活状态(即Active状态),另一台设备处于该业务的备用状态(即Standby状态)。工作机和备用机通过心跳线连接,备用机实时监视工作机的情况,当工作机出现问题,备用机就接管工作。在这个状态下,工作防火墙响应ARP请求,并且转发网络流量;备...原创 2019-04-11 15:56:28 · 16494 阅读 · 1 评论 -
国内外漏洞扫描产品
1. 国外1.1 国外VA市场漏洞评估(VA)市场由提供识别,分类和管理漏洞的功能的供应商组成。VA市场成熟,整体市场增长稳定。VA是大多数信息安全管理和监管框架的标准组成部分。采用MSSP为最终用户组织执行漏洞评估也正在经历增长。Gartner看到了探索此选项的客户的增加。VA市场的收入集中在少数供应商中,其中很大一部分供应给三家供应商(Rapid7,Tenable和Qualys)。 ...原创 2019-04-15 22:49:33 · 7399 阅读 · 0 评论 -
准入控制(NAC)技术调研
1. NAC分类根据美国著名调研机构Gartner研究,他们把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论:1、基于端点系统的架构–Software-base NAC;主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是各个网络设备厂家和部分桌面管理厂商,采用的...原创 2019-09-29 17:22:09 · 4290 阅读 · 0 评论