趣谈网络协议---云中的网络安全:虽然不是土豪,也需要基本安全和保障

最新推荐文章于 2024-08-06 06:44:03 发布
最新推荐文章于 2024-08-06 06:44:03 发布
阅读量503 收藏 1
点赞数
分类专栏: 趣谈网络协议(刘超)笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012319493/article/details/82911757
版权

对于公有云上的虚拟机,仅开放需要的端口。采用的方式常常是用 ACL(Access Control List)来控制 IP 和端口。

设置好规则,只有指定的 IP 段能访问指定的开放接口,这些规则的集合称为安全组。

安全组如何实现?

网络包进入一台机器的过程:
在这里插入图片描述

Netfilter 框架可在上图 5 个节点中插入 hook 函数,截获数据包,对数据包干预。

一个著名的实现,是内核模块 ip_tables。它在 5 个节点中埋下函数,从而可根据规则进行包的处理。按功能分为四大类:

  • 连接跟踪(conntrack)
  • 数据包过滤(filter)
  • 网络地址转换(nat)
  • 数据包的修改(mangle)

在用户态,可通过客户端程序 iptables,用命令行干预内核规则。内核的功能对于 iptables 命令,是表和链的概念。
在这里插入图片描述
iptables 的表有四种:raw–>mangle–>nat–>filter,优先级依次降低,raw 不常用,每个表可设置多个链。

1、filter 表处理过滤功能,主要包含3条链:

  • INPUT 链:过滤所有目标地址是本机的数据包;
  • FORWARD 链:过滤所有路过本机的数据包;
  • OUTPUT 链:过滤所有由本机产生的数据包。

2、nat 表主要处理网络地址转换,可进行 Snat(改变数据包的源地址)、Dnat(改变数据包的目标地址),包含3条链:

  • PREROUNTING 链:可在数据包到达防火墙时改变目标地址;
  • OUTPUT 链:可改变本地产生的数据包的目标地址;
  • POSTROUTING 链:在数据包离开防火墙时改变数据包的源地址。

3、mangle 表主要是修改数据包,包含5条链。

将 iptables 的表和链加入上图,形成下图:
在这里插入图片描述
有了 iptables 命令,可在云中实现一定的安全策略。例如将所有的门都关闭。

iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -J DROP

-s 源 IP 地址段
-d 目标地址段
DROP 丢弃

打开 ssh

iptables -I INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -p tcp --dport 22 -j ACCEPT

手动配置比较麻烦,云平台上,一般允许一个或多个虚拟机属于某个安全组,而属于不同安全组的虚拟机之间的访问及外网访问虚拟机,都需要通过安全组过滤。

在这里插入图片描述

例如上图,所有网站的前端都在 Tomcat 里,对外开放 8080 端口,数据库使用 MySQL,开放 3306 端口。

为方便运维,创建两个安全组:

1、安全组 A,有 Tomcat 所在的虚拟机,允许任意 IP 地址 0.0.0.0/0 访问 8080 端口,仅允许管理员网段 203.0.112.0/24 访问 ssh 的 22 端口。

2、安全组 B,有 MySQL 所在的虚拟机,仅允许来自 A 的机器访问 3306 端口,仅允许管理员网段 203.0.112.0/24 访问 ssh 的 22 端口。

如何将安全组规则自动下发到每个安全组里的虚拟机?
在这里插入图片描述

两个 VM 都通过 tap 网卡连接到一个网桥上,但网桥是二层的,两个 VM 可随意互通,因而需要有一个地方统一配置这些 iptables 规则。

可多加一个网桥,然后每台机器跑一个 Agent,将用户配置的安全组变成 iptables 规则,放到这个网桥上。

iptables 中的 nat

设计云平台时,虚拟机网络和物理网络隔离,但虚拟机还是需通过物理网和外界通信,因而出物理网时,需进行网络地址转换 nat,可用 iptables 做。

转换源 IP 地址的,为 Snat;转换目标 IP 地址的,为 Dnat。

云平台的虚拟机只有私网 IP 地址,到达外网网口要做一次 Snat,转换为机房网 IP,出数据中心时,再转换为公网 IP。

公网 IP 比较贵,所以 Snat 时,所有虚拟机共享一个机房网和公网的 IP 地址,所有从外网网口出去的,都转换成这个 IP 地址。这种 Snat 是地址伪装 MASQUERADE。

结果返回时,nat 成哪个私网的 IP ?

用到 Netfilter 的连接跟踪(conntrack)功能。TCP 建立的“源/目标 IP + 源/目标 端口”标识的连接会放在 conntrack 表中,虚拟机请求163 网站时,虽然源地址已经 Snat 成公网 IP,但 conntrack 表中会记录这个连接,163 网站返回数据时,会根据该记录找到正确的私网 IP。

如何用虚拟机做服务器?即虚拟机中部署的是 163 网站。

给该网站配置固定的物理网 IP 和公网 IP。外部访问进来时,外网网口通过 Dnat 将公网 IP 转换为私网 IP,然后到达虚拟机中的 163 网站。返回结果时,外网网口会通过 Snat 将私网 IP 转换为那个分配好的固定公网 IP。

谛听-
关注
专栏目录
网络安全自学教程》- TCP协议详解
wangyuxiang946的博客
11-09 1万+
TCP三次握手四次挥手,TCP连接状态,wireshark抓包分析TCP报文格式,TCP可靠传输机制,粘包,拆包,半包,滑动窗口,重传机制,UDP协议检错原理
计算机网络协议安全
weixin_53386866的博客
02-05 425
** 计算机网络协议安全 **1.开放系统参考模型osi 由低到高物理层,数据链路层,网络层,传输层,会话层,表示层,应用层 2.Tcp\IP模型 传输层控制协议\Internet协议,由低到高网络接口层,网络层,传输层,应用层 网络分层结构 将网络分层划分,有以下好处 1.独立性 2.灵活可分 3.易于实现与维护 促进标准化 3. 4.osi七层中各层实现的作用及功能: **物理层:**物理层(水晶头,塑料,接触片,网线) 物理层上的标准接口:综合业务数字网,数字用户线路,同步光纤网络 **数据链路层:
网络安全自学》网络协议
最新发布
wangyuxiang946的博客
08-06 5643
网络安全怎么学?一看你就明白了!
网络安全----网络协议安全
juggte的博客
11-17 4123
—TCP/IP协议栈 互联网设计之初的使用目的是用于军事与科学研究,其基本假设就是节点的诚实 性;由于计算机网络的广泛使用,这种假设在今天已经无法成立,因此可能导致各种各样的攻击。 互联网安全协议概述 存在的问题:原始协议几乎没有安全方面的考虑。存在各种各样的攻击手段,如窃听、篡改、伪造、冒充等。 解决办法:现有TCP/IP协议仍在使用,彻底更换不现实也办不到。只有通过添加新的安全协议的方法进行解决。今后开发的因特网协议,应将安全问题作为重要因素加以考虑。 TCP/IP协议栈中安全机制的相
网络安全安全协议浅谈
缘友一世的博客
05-25 899
安全协议是信息交换安全的核心,它在网络不同层次上、针对不同应用,通过对各种密码学技术的应用与结合,为网络传输协议增加安全算法协商和数据加/解密等安全机制,从而实现信息交换的安全性。数据交换中的机密性、完整性、真实性和不可否认性主要通过密码技术实现。通信双方需要在数据交换之前采用加密算法、签名算法和密钥交换算法等问题进行协商,并达成一致;在数据交换过程中通信双方按所达成的协议进行加密和认证处理,以保证信息交换的安全性。
2.3 网络安全协议
weixin_43263566的博客
08-03 1133
开放系统互连模型(Open System Interconnection Reference Model,OSI)是国际标准化组织(ISO)于1977年发布的一个标准参考模型,用于描述计算机系统和网络之间进行通信的基本过程和方法。于1983年成为ISO 7498国际标准。TCP/IP是目前互联网中最基本的协议,也是互联网构成的基础协议。TCP/IP最早源于美国国防部的ARPA网项目 (一个军用通信网络),经过多年的发展,其中的非涉密部分发展成今天的互联网。
014-趣谈网络协议014-趣谈网络协议
05-04
总的来说,“014-趣谈网络协议”可能涵盖了以上这些内容,通过轻松的方式介绍网络协议的重要性和工作原理。了解网络协议有助于我们更好地理解网络世界,解决网络问题,并可能启发对网络技术更深入的研究。无论是对于...
计算机网络技术基础-趣谈网络协议.md
01-06
计算机网络技术基础-趣谈网络协议.md
05-趣谈网络协议.epub
11-16
05-趣谈网络协议
趣谈网络协议 pdf .zip
04-13
26云中网络安全 27云中的网络Qo 28云中网络的隔离GRE、VXLAN 29容器网络 30容器网络之Flannel 31容器网络之Calico 32RPC协议综述 33基于XML的SOAP协议 34基于JSON的RESTful接口协议 35二进制类RPC协议 36跨语言类...
趣谈网络协议-课程介绍
分享学习心得,生命不息,学习不止,望共勉。
12-19 321
底层网络协议知识详解:将用最通俗的语言,自下而上讲解最重要、最常用以及最陌生的网络协议概念,帮你构建最精准的网络协议知识框架。 网络协议在热门领域的应用:将讲述网络协议在当下热门领域的应用,比如云计算、容器和微服务,并手把手带你使用新技术,进一步加深对网络协议概念的理解。 网络协议知识串联:将用“双十一”的故事串起网络协议的核心概念和基础知识;借助虚拟化和容器技术,搭建一个实验环境,持续更新你的知识库。
信息安全概论———网络安全协议
WangCYman的博客
04-23 6186
网络安全协议 网络安全协议:TCP/IP固有漏洞,所以为保证信息安全,在各种层次上产生各种安全协议,是以密码学为基础的,在网络中提供安全服务为目的协议; 数据链路层:PPTP,L2F,L2TP,主要用于构建access VPN,本质是使用隧道技术构建VPN; 应用层:IPSEC; 传输层:SSL; 应用层:S-HTTP,SSH,SET; IPsec IPsec在IPv6上是必选项...
网络安全:常用协议
nnnooon的博客
07-08 3143
网络安全中常用协议详解
来聊聊JVM的方法区
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
01-24 2633
方法区其实是一个**《Java虚拟机规范》一个逻辑上的概念,对于不同版本的JVM都有不同的实现,就以我们常用的HotSpotJVM而言,方法区还有一个别名叫Non-Heap**,即非堆内存,这么定义的目的自然是要让Java开发者明白方法区和堆是一块独立于Java方法区和Java堆内存一样也是属于各个线程共享的内存区域。方法区在JVM启动就时创建,并且它实际的物理内存空间和Java堆内存一样可以是不连续的,注意笔者所说,可以是不连续的。方法区内存大小也可以选择固定大小或者可扩展。
【网络信息安全网络安全基础(1),花三分钟看完这篇文章你就懂了
m0_61549781的博客
04-06 729
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
网络安全协议
呆萌很的博客
04-24 6778
网络安全协议,软考
网络安全协议(一)
qq_39251759的博客
10-02 3691
网络 是由两台以上计算机连在一起组成的“计算机群”,再加上相应“通信设备”组成的综合系统。网络带来的好处主要体现在资源共享、信息交换与及时传递两个方面。 网络的分类 A.一种分类法: 信息(message):文字、数值、图形、声音、图像等 发送设备:又称“主机”(host)——各种信息处理设备(计算机等) 接收设备:同上 通信设备:负责主机间的通信控制和通信处理 传输媒介:各种电缆、光缆、无线电波等 通信协议:通信规则(无协议的两台设备可以连接但无法通信,如同讲不同语言的两人无法对讲) B.另一种分类法:
网络协议安全分析
qq_43342413的博客
04-15 4769
网络安全层次结构 物理层 在通信线路上保障不被搭线,不被偷听,尽可能检测出来。 数据链路层 a.点对点的链路上可以采用通信保密机进行加解密。 b.由第层硬件完成,对上层透明。 c.缺陷:无法适应多个路由器的网络,尤其Internet. 网络层 使用防火墙技术处理信息在内外网的流动,允许或禁止某些目的主机或信息。 传输层 a.端到端加密。 b.不能单独解决身份认证、访问控制问题。 ...
网络协议趣谈:双十一故事中的流控与路径穿越
这种封装和路由策略确保了数据包能够安全、有序地穿越不同的网络层次,直至到达最终的目的地——SLB的公网IP地址,从而完成下单操作。 此外,由于网络环境可能存在不稳定因素,如网络拥塞,网络包可能会触发重传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值