- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
隔离网络那点事
通过无法访问互联网的封闭网络保护重要资产,攻击者不能与隔离网络(全文都在说物理隔离网络)直接通过网络接触,传统攻击渗透手段都会失效,但是隔离网络并不代表绝对安全,虽然隔离了网络访问,但由于网络维护、数据交互等原因 本文对freebuf历史上发表过的有关隔离网络相关攻击技术进行梳理性解读。 一、相关概念 Air-Gapped Devices 从未连接互联网的设备,封闭的计算机网络或独立的安全隔离网络。 三、技术工具 隔离网络的攻击难点在于武器进入、过程控制、信息输出三个部分。 1)控制通道 震网病毒 过程控制取决于攻击意图、网络具体情况,参考安天报告。 HVACKER 利用供热通风与空气调节(HVAC)系统向隔离网络电脑发送指令。 CIA网络武器主要针对微软Windows操作系统进行攻击,通过 USB存储介质对安全隔离网络进行渗透攻击和窃取数据。
1.5K30发布于 2019-12-23 - 来自专栏巫山跬步
简单主机网络隔离方案
前言 如果想隔离主机中进程的网络环境,可以使用network namespace(后面简称ns)来做。隔离方法很多种,本文介绍几种简单的可行方案。 net exec $myns ip link set eth0 up ip net exec $myns ip route add default via 10.0.6.1 dev eth0 设置后隔离环境网络情况为 inet6 fe80::98c1:6dff:fede:deb7/64 scope link valid_lft forever preferred_lft forever 设置后隔离环境网络情况为 设置后主机环境网络情况为: [zj.png] 设置后隔离环境网络情况为: [gl.png] 和另一台cvm测试网络连通性: 隔离环境连通另外一台cvm: [ping.png] //另一台cvm连通隔离环境 写在后面 网络隔离通常用于容器服务,上面是自己基于underlay网络做的一些实践,如有错误,还请指出,感谢阅读!
2.1K64发布于 2021-03-06 - 来自专栏shysh95
Kubernetes Pod间网络隔离
Hi~朋友,关注置顶防止错过消息 网络隔离的对象 使用NetworkPolicy对象来实现。 cidr: 10.0 . 0.0 / 24 ports: - protocol: TCP port: 5978 spec.podSelector:定义被网络隔离器管理 pod(default namespace pod上有roles:db标签的Pod) policyTypes:网络隔离的方向,入口(ingress)或者出口(egress) ingress:可以有三种方式来定义如何隔离入口流量 如何实现网络的隔离 Kubernetes对Pod进行隔离依靠的就是在宿主机上生成NetworkPolicy对应的iptables规则来进行实现。 CNI网络插件需要设置两组iptables规则来实现。
80230编辑于 2023-08-23 - 来自专栏cuijianzhe
zabbix agent 隔离网络ICMP监控实现
: UserParameter=ping.storage,/bin/bash /etc/zabbix/zabbix_agentd.d/pingstorage.sh 标题:zabbix agent 隔离网络 ICMP监控实现 作者:cuijianzhe 地址:https://solo.cjzshilong.cn/articles/2023/11/19/1700395999304.html
31820编辑于 2023-11-20 - 来自专栏腾讯云原生团队
用Kube-router实现网络隔离
Network Policy Network Policy是k8s提供的一种资源,用于定义基于pod的网络隔离策略。 Networking IPVS/LVS based service proxy Network Policy Controller 在腾讯云TKE上,Pod Networking功能由基于IAAS层VPC的高性能容器网络实现 ,同一namespace的pod互通 通过 不同namespace的pod互相隔离,同一namespace的pod隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A 通过 允许某个 namespace访问集群外某个CIDR,其他外部IP全部隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A中对应的pod以及端口 通过 以上用例,当source pod 和 destination pod在一个node上时,隔离是否生效 通过 功能测试用例
1.9K41发布于 2020-02-14 Docker网络实战:容器通信与隔离之道
1.2 常见网络类型 Bridge网络(桥接网络):是 Docker 的默认网络模式,它会在宿主机内部创建一个私有虚拟网络,容器像连接到同一个虚拟交换机一样被分配独立IP,并通过NAT与外部通信,是实现单主机上多容器间通信最常用且隔离性良好的方式 Host(宿主机网络):让容器直接共享宿主机的网络命名空间,容器本身没有独立IP,直接使用主机网卡和端口,消除了NAT开销从而提供最佳网络性能,但代价是牺牲了网络隔离性并可能引发端口冲突。 新创建的容器不会创建自己的网卡,配置自己的 ip,而是和一个指定的容器共享 ip,端口等,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。 None(无网络):模式为容器提供了一个完全无网络的环境,内部仅存在回环接口,使其与外界彻底隔离,适用于追求绝对安全或只需执行离线计算的特殊任务。 exec -it box4 ifconfig 该模式的缺点:宿主机和容器的端口是共用的,无隔离,所以不能让它们用相同的端口。
35010编辑于 2025-11-15- 来自专栏Linux基础入门
(11)Linux网络命令
:ping 命令所在路径:/bin/ping 执行权限:所有用户 语法:ping 选项 IP地址 -c 指定发送次数 功能描述:测试网络连通性 例1:time越短,网络越好。同时在ping时我们重点关注packet loss,如果丢包率非常高,即使ping通了,说明网络状态也很差。 ? ? 4. 命令名称:netstat 命令所在路径:/bin/netstat 执行权限:所有用户 语法:netstat [选项] 功能描述:显示网络相关信息 选项: -t: 例2:netstat -an 查看本机所有网络链接 相对于-tlun,最大的区别在于,-tlun只能查看监听,-an可以查看正在连接的网络程序 ? 命令名称:setup 命令所在路径:/usr/bin/setup 执行权限:root 语法:setup 功能描述:配置网络 例1:输入setup后显示如下图 ?
76620发布于 2020-08-26 - 来自专栏Rainbond开源「容器云平台」
eBPF Cilium实战(1) - 基于团队的网络隔离
--------------------------------------------------------- ✅ 69/69 tests successful (0 warnings) 设置团队网络隔离 Cilium 的网络隔离策略遵循白名单机制,在不创建网络策略的情况下,对于网络不作任何限制,在为指定类型的 pod 集合创建网络策略后,除策略中允许的访问地址外,其它请求都会被拒绝。 不受任何特殊限制 [2.png] [3.png] 限制只允许本团队内组件互相访问,隔绝其它团队访问 在实际生产中,一个集群内部可能会同时部署开发、测试、生产等多个团队,基于安全性的考虑,需要对每个的团队做出网络隔离 ,有时候需要临时开放一些组件给其它团队访问以便进行调试,下面以 nginx-dev 组件为例说明如何在设置网络隔离的情况下开放外部团队的访问权限。 AGE dev dev-namespace-ingress 19s dev nginx-dev-ingress1 12s 测试效果 [11
1.1K40编辑于 2022-04-06 - 来自专栏SDNLAB
如何实现网络切片的端到端隔离?
# 资源隔离 某一网络切片所使用的网络资源与其他网络切片所使用的资源之间相互隔离。 # 运维隔离 对于一部分网络切片用户来说,在提供业务隔离和资源隔离的基础上,还要求能够对运营商分配的网络切片进行独立的管理和维护操作,即做到对网络切片的使用近似于使用一张专用网络,网络切片通过管理平面接口开放提供运维隔离功能 根据切片的安全隔离要求,在 DU、CU上的隔离机制可单独或组合使用。 承载网的切片隔离 网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。 网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式,在对网络切片使用 VLAN实现逻辑隔离的情况下,进一步利用 FlexE分片技术,实现在时隙层面的物理隔离。 网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现,如下图所示。 根据应用对安全的需求,可提供物理隔离和逻辑隔离两种隔离方案。
1.3K10编辑于 2022-12-13 - 来自专栏信安之路
隔离网络环境下如何实现文件传输
为了防止内部数据的泄密,他们先做了内外网隔离,后来又将内网隔离出了研发网和办公网,并且研发网内部采用了云桌面虚拟化的方式。 据了解,不光是科技型企业,金融、医疗、电力、政府、制造等行业,大部分都做了网络隔离,甚至在内部隔离出更多的网络,比如生产网、测试网等。 通过隔离的方式将重要数据“困”在内部,从而提升网络整体安全水平。 隔离后如何安全的发送文件呢? 网络隔离后,不同网络之间就无法互传文件了,使得跨网业务无法顺利开展。 小张公司经过调研和梳理后,总结出了安全可控、便捷高效的跨网文件摆渡,是需要满足以下需求的: 1、在确保网络隔离安全的前提下,终端用户可以简单快捷的收发文件; 2、跨网收发文件时,一些重要、敏感文件可能需要经过领导审批 ,可进行灵活的权限分配,支持部门空间、项目空间的协作管理模式,各工作空间逻辑隔离,互不影响,可独立开展文件管理和安全管控; 3、不仅可以实现内部隔离网间的文件摆渡,还可以支持和外部合作伙伴之间的文件安全收发
1.3K10编辑于 2022-12-30 Java EE(11)——初识网络
这便是本文所要讨论的内容 IP地址 IP地址用于表示网络设备(如路由器)的网络地址。换言之,IP用于定位主机的网络地址。 网络通信为了解决上述问题,就引出了“协议”。协议又叫做网络协议,是网络数据传输经过的所有设备都必须遵守的一组约定和规则,协议最终体现在网络上传输的数据包的格式。 协议分层 网络通信是一件十分复杂的事情,需要的场景越复杂,要求就越高。 这里以UDP协议为例,在应用层数据包前面添加UDP报头,然后提交给网络层 UDP报头主要包含源端口和目的端口 3.网络层 网络层基于IP协议在UDP数据报前面添加IP报头,然后提交给数据链路层 3.网络层 网络层解析出IP报头,将IP数据报的载荷部分提交给传输层 4.传输层 传输层解析出UDP报头,将UDP载荷部分提交给应用层 5.应用层 应用层将数据包进行解析
13610编辑于 2026-01-13- 来自专栏杨熹的专栏
TensorFlow-11-策略网络
AlphaGo 主要使用了快速走子,策略网络,估值网络,和蒙特卡洛搜索树等技术。 深度强化学习模型本质上也是神经网络,主要分为策略网络和估值网络。 ---- 今天要先来实现一下策略网络,就是要建立一个神经网络模型,可以通过观察环境状态预测出目前最应该执行的策略以及可以获得的最大的期望收益。 每个环境信息包含四个值,例如小车的位置速度等,我们不需要编写逻辑来控制小车,而是设计一个策略网络,让它自己从这些数值中学习到环境信息,并制定最佳策略。 我们的策略网络是要使用一个简单的带有一个隐含层的 MLP,隐含层节点数为10,环境信息的维度为4。 ? 用 reshape 得到策略网络输入的格式,然后获得网络输出的概率 tfprob,然后在 0-1 之间随机抽样得到 action,如果它小于这个概率就利用行动取值为1,否则为0。 ?
85550发布于 2018-04-03 - 来自专栏企业文件数据安全交换
网络隔离数据传输如何实现安全互通?
网络隔离,相信每个企业都不陌生,很多企业进行网络隔离,其实主要都是为了安全原因: 1、涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。 网络隔离配图.jpg 网络上承载专用的业务,其安全性一定要得到保障,然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据共享交换本身就是天生的一对矛盾,通过网闸、DMZ 区、双网云桌面等方式实现内外网分离,会面临很多问题:1、通过FTP或网络共享进行内外网文件移动,网络隔离安全性降低,且依然需要专人管理执行,无法解决人工处理带来的问题。 1、灵活的审批策略 确保数据传输合规 2、完整的日志记录 实现全过程管控 3、传输加密策略 保障数据传输安全性 4、支持文件同步 实现文件自动化交换 网络隔离在网络安全建设中十分常用,随着企业IT业务系统的日益成熟 所以要实现网络隔离数据传输的安全可控,一定要针对企业的实际需求来选择产品!
2.1K30发布于 2019-09-02 - 来自专栏后端开发技术
Docker网络高级实战:隔离网络、检查路由表和自定义网络驱动
GlobalIPv6PrefixLen":0,"IPAddress":"172.17.0.2","IPPrefixLen":16,"IPv6Gateway":"","MacAddress":"02:42:ac:11 IPPrefixLen":16,"IPv6Gateway":"","GlobalIPv6Address":"","GlobalIPv6PrefixLen":0,"MacAddress":"02:42:ac:11 但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。集群的时候使用。overlay驱动。通过网络虚拟化技术,在同一个物理网络上构建出一张或多张虚拟的逻辑网络。适合大规模的云计算虚拟化环境。 2.5、网络隔离效果展示我们都知道,不同网络的机器是不能通信的。(1)创建两个bridge网络。 三、总结掌握Docker网络高级实战对于构建安全、高效且可扩展的云原生应用程序非常重要。理解Docker网络隔离机制,并使用标签和策略实施网络隔离。
76910编辑于 2025-09-24 - 来自专栏网络技术联盟站
华为网络工程师 | 如何配置端口隔离?
1、应用场景 当用户需要实现报文之间的二层隔离,又不希望浪费VLAN资源。此时,可以配置端口隔离,通过将端口加入到隔离组实现不同端口报文间的二层隔离。 配置接口加入到隔离组。 3、操作步骤 # 配置GE0/0/1的端口隔离功能。 HUAWEI -GigabitEthernet0/0/1] port-isolate enable [HUAWEI -GigabitEthernet0/0/1] quit # 配置GE0/0/2的端口隔离功能
80110发布于 2019-11-27 - 来自专栏网络技术联盟站
常见网络安全设备:安全隔离网闸
来源:网络技术联盟站 链接:https://www.wljslmz.cn/17835.html 定义 安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。 功能模块 安全隔离闸门的功能模块有: 安全隔离 内核防护 协议转换 病毒查杀 访问控制 安全审计 身份认证 主要功能 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接 ,而不能同时与两个网络连接; 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。 如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。 2、网络交换信息的区别 安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。
2.1K10编辑于 2023-03-05 - 来自专栏Miigon's Blog
笔记 Lab11: Networking | 网络
Lab 11: Networking (hard) 熟悉系统驱动与外围设备的交互、内存映射寄存器与 DMA 数据传输,实现与 E1000 网卡交互的核心方法:transmit 与 recv。 return; } rx_mbufs[ind]->len = desc->length; net_rx(rx_mbufs[ind]); // 传递给上层网络栈
69010编辑于 2022-10-27 - 来自专栏FreeBuf
关于网络安全域隔离问题的研究与思考
在企业网络安全防护方面,网络安全域隔离也是网络安全防御最重要、最基础的手段之一,也是企业数据中心、信息系统建设最先需要考虑的基础性问题。 四、传统网络安全域隔离方式 说了这么多网络安全域隔离的问题,那么具体怎么实现呢?有什么方式呢?以笔者的经验主要有物理隔离、逻辑隔离(防火墙隔离、VLAN隔离等)。 (一)物理隔离。 这里面又分为几种:1、强物理隔离。从字面上看,这是一种非常容易理解的网络隔离方式,两个网络安全域从网络线路、网络设备、系统主机等硬件系统层面都是单独部署一套,两者之间严禁各种网络连接。 然而,在虚拟化/云计算环境下,有没有必要进行网络安全域隔离?如何进行网络安全域隔离呢?笔者翻阅了阿里云、华为云等云计算公司发布的白皮书,网络安全域隔离仍然是其网络安全架构的基本实现方式之一。 上面这一段话,我们看到了阿里云基础平台怎么实现网络安全域隔离的,首先,阿里云分为生产网和非生产网,其次,阿里云分为对外提供服务的云服务网络和支撑云服务的物理网络,最后,我们还看到了阿里云办公网与生产网络的隔离
3.6K21发布于 2020-05-14 - 来自专栏coding个人笔记
css 隔离
css隔离就是为了解决这个问题。 css Modules: 这其实跟命名空间有点类似,vue应该就是使用类似的方法,给选择器加上特殊的字符串,达到css隔离的效果。 css-in-js: 这个概念已经诞生很多年了,作为开发了快四年的前端,还是因为了解一下css隔离才知道有这个东西。 ; p.innerText = '这是shdow dom';shadow.appendChild(p); 不过奇怪的是自己实现的能在标签那边看见,Shadow DOM真正意义上的实现了dom和css的隔离
1.6K30发布于 2020-08-21 - 来自专栏FreeBuf
CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光
维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册,这个工具集是用来专攻物理隔离网络的,或者说未接入互联网的网络的,目标主要就是企业和关键基础设施了。 CIA的这系列工具主要针对物理隔离网络,其攻击流程还是比较复杂的,毕竟未接入互联网的设备在安全性上具备了先天优势:首先是用前面提到的Drifting Deadline,针对每个目标来生成第一和第二阶段的恶意程序 被感染的设备可以协同作战 其实“残忍的袋鼠”精华所在是感染物理隔离网络之后,将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。 维基解密提到: “如果隔离网络中的多台设备都已经被CIA控制,这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明,但这种入侵隔离网络的方式和震网还是非常相似。” ? 至于新版本的Shadow感染方法,还是要从上面的第一阶段开始,感染USB设备来投递新的Shadow版本到物理隔离网络中。 CIA或许已经开发出了新版本?
1K40发布于 2018-02-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号