- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
隔离网络那点事
通过无法访问互联网的封闭网络保护重要资产,攻击者不能与隔离网络(全文都在说物理隔离网络)直接通过网络接触,传统攻击渗透手段都会失效,但是隔离网络并不代表绝对安全,虽然隔离了网络访问,但由于网络维护、数据交互等原因 本文对freebuf历史上发表过的有关隔离网络相关攻击技术进行梳理性解读。 一、相关概念 Air-Gapped Devices 从未连接互联网的设备,封闭的计算机网络或独立的安全隔离网络。 三、技术工具 隔离网络的攻击难点在于武器进入、过程控制、信息输出三个部分。 1)控制通道 震网病毒 过程控制取决于攻击意图、网络具体情况,参考安天报告。 HVACKER 利用供热通风与空气调节(HVAC)系统向隔离网络电脑发送指令。 CIA网络武器主要针对微软Windows操作系统进行攻击,通过 USB存储介质对安全隔离网络进行渗透攻击和窃取数据。
1.5K30发布于 2019-12-23 - 来自专栏巫山跬步
简单主机网络隔离方案
前言 如果想隔离主机中进程的网络环境,可以使用network namespace(后面简称ns)来做。隔离方法很多种,本文介绍几种简单的可行方案。 net exec $myns ip link set eth0 up ip net exec $myns ip route add default via 10.0.6.1 dev eth0 设置后隔离环境网络情况为 :fed9:3444/64 scope link valid_lft forever preferred_lft forever 和另一台cvm测试网络连通性: //隔离环境连通另外一台cvm 设置后主机环境网络情况为: [zj.png] 设置后隔离环境网络情况为: [gl.png] 和另一台cvm测试网络连通性: 隔离环境连通另外一台cvm: [ping.png] //另一台cvm连通隔离环境 写在后面 网络隔离通常用于容器服务,上面是自己基于underlay网络做的一些实践,如有错误,还请指出,感谢阅读!
2.1K64发布于 2021-03-06 - 来自专栏shysh95
Kubernetes Pod间网络隔离
Hi~朋友,关注置顶防止错过消息 网络隔离的对象 使用NetworkPolicy对象来实现。 cidr: 10.0 . 0.0 / 24 ports: - protocol: TCP port: 5978 spec.podSelector:定义被网络隔离器管理 pod(default namespace pod上有roles:db标签的Pod) policyTypes:网络隔离的方向,入口(ingress)或者出口(egress) ingress:可以有三种方式来定义如何隔离入口流量 如何实现网络的隔离 Kubernetes对Pod进行隔离依靠的就是在宿主机上生成NetworkPolicy对应的iptables规则来进行实现。 CNI网络插件需要设置两组iptables规则来实现。
80230编辑于 2023-08-23 - 来自专栏cuijianzhe
zabbix agent 隔离网络ICMP监控实现
: UserParameter=ping.storage,/bin/bash /etc/zabbix/zabbix_agentd.d/pingstorage.sh 标题:zabbix agent 隔离网络
31820编辑于 2023-11-20 - 来自专栏腾讯云原生团队
用Kube-router实现网络隔离
Network Policy Network Policy是k8s提供的一种资源,用于定义基于pod的网络隔离策略。 Networking IPVS/LVS based service proxy Network Policy Controller 在腾讯云TKE上,Pod Networking功能由基于IAAS层VPC的高性能容器网络实现 ,同一namespace的pod互通 通过 不同namespace的pod互相隔离,同一namespace的pod隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A 通过 允许某个 namespace访问集群外某个CIDR,其他外部IP全部隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A中对应的pod以及端口 通过 以上用例,当source pod 和 destination pod在一个node上时,隔离是否生效 通过 功能测试用例
1.9K41发布于 2020-02-14 Docker网络实战:容器通信与隔离之道
1.2 常见网络类型 Bridge网络(桥接网络):是 Docker 的默认网络模式,它会在宿主机内部创建一个私有虚拟网络,容器像连接到同一个虚拟交换机一样被分配独立IP,并通过NAT与外部通信,是实现单主机上多容器间通信最常用且隔离性良好的方式 Host(宿主机网络):让容器直接共享宿主机的网络命名空间,容器本身没有独立IP,直接使用主机网卡和端口,消除了NAT开销从而提供最佳网络性能,但代价是牺牲了网络隔离性并可能引发端口冲突。 新创建的容器不会创建自己的网卡,配置自己的 ip,而是和一个指定的容器共享 ip,端口等,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。 None(无网络):模式为容器提供了一个完全无网络的环境,内部仅存在回环接口,使其与外界彻底隔离,适用于追求绝对安全或只需执行离线计算的特殊任务。 exec -it box5 ping www.baidu.com docker exec -it box5 ifconfig 断开box1的网络,检查box5网络变化 docker network
35010编辑于 2025-11-15- 来自专栏全栈程序员必看
5g切片隔离原理_5G切片编排器
5G网络切片安全隔离机制与应用* 毛玉欣1,陈林2,游世林1,闫新成1,吴强1 【摘 要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。 针对5G网络架构重构、网络部署形态的变化,研究提出了网络切片端到端安全隔离的实现方法,包括切片在接入网络、承载网络和核心网络中的隔离实现。结合典型行业应用的要求,给出了定制化切片的隔离实现案例。 网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现,如图5所示。 根据应用对安全的需求,可提供物理隔离和逻辑隔离两种隔离方案。 差动保护业务通过 5G网络实现在两个 DTU之间交互,而配网自动化三遥业务由 DTU经过 5G网络流向业务主站,如图6所示。两类业务对外需要实现物理隔离,两类业务之间需要实现逻辑隔离。 目前, 5G网络处于商用部署的初始阶段, 5G网络切片的应用、部署、 5G网络与垂直行业应用的结合尚处于研究探索和试验阶段,对于网络切片安全隔离机制以及网络切片面临的其他潜在安全问题还需要不断深入研究和试验
1.5K20编辑于 2022-11-10 - 来自专栏Rainbond开源「容器云平台」
eBPF Cilium实战(1) - 基于团队的网络隔离
--------------------------------------------------------- ✅ 69/69 tests successful (0 warnings) 设置团队网络隔离 Cilium 的网络隔离策略遵循白名单机制,在不创建网络策略的情况下,对于网络不作任何限制,在为指定类型的 pod 集合创建网络策略后,除策略中允许的访问地址外,其它请求都会被拒绝。 不受任何特殊限制 [2.png] [3.png] 限制只允许本团队内组件互相访问,隔绝其它团队访问 在实际生产中,一个集群内部可能会同时部署开发、测试、生产等多个团队,基于安全性的考虑,需要对每个的团队做出网络隔离 CiliumNetworkPolicy -A NAMESPACE NAME AGE dev dev-namespace-ingress 39s 测试效果 [5. ,有时候需要临时开放一些组件给其它团队访问以便进行调试,下面以 nginx-dev 组件为例说明如何在设置网络隔离的情况下开放外部团队的访问权限。
1.1K40编辑于 2022-04-06 - 来自专栏SDNLAB
如何实现网络切片的端到端隔离?
在 5G 网络中,同一基础设施上可能需要同时运行多种应用程序,而这些应用程序的QoS (服务质量)需求不同。 5G/6G 网络切片 通过网络切片,每种类型的应用程序都可以在不同的切片上提供服务。 5G接入网络的基站处理部分由 DU和 CU构成,因此网络切片在基站处理部分的隔离是切片在 DU和 CU上的隔离实现。 核心网的切片隔离 5G核心网络基于虚拟化基础设施构建,其部署架构分为资源层、网络功能层和管理编排层。 【投稿】 欢迎智能网卡/DPU、SDN、SD-WAN、确定性网络、TSN、5G、网络切片等网络方向的观点类、新闻类、技术类稿件。
1.3K10编辑于 2022-12-13 - 来自专栏信安之路
隔离网络环境下如何实现文件传输
据了解,不光是科技型企业,金融、医疗、电力、政府、制造等行业,大部分都做了网络隔离,甚至在内部隔离出更多的网络,比如生产网、测试网等。 通过隔离的方式将重要数据“困”在内部,从而提升网络整体安全水平。 隔离后如何安全的发送文件呢? 网络隔离后,不同网络之间就无法互传文件了,使得跨网业务无法顺利开展。 小张公司经过调研和梳理后,总结出了安全可控、便捷高效的跨网文件摆渡,是需要满足以下需求的: 1、在确保网络隔离安全的前提下,终端用户可以简单快捷的收发文件; 2、跨网收发文件时,一些重要、敏感文件可能需要经过领导审批 ; 3、需要能追查到什么人在什么时间发了什么文件,要能够看到原始的文件记录; 4、在安全方面,功能需要全面一些,比如杀毒、敏感内容检查、加密等; 5、产品的拓展性要强,能便捷地与 AD 域、OA 等集成使用 IP地址发了什么文件等,都一目了然,并且管理员可以查看原始文件,一旦发现问题可以及时追溯; 4、系统提供多重安全保障,内置防病毒引擎、内容安全检查、传输加密等,避免病毒文件进入内网,防止敏感文件外泄; 5、
1.3K10编辑于 2022-12-30 - 来自专栏企业文件数据安全交换
网络隔离数据传输如何实现安全互通?
网络隔离,相信每个企业都不陌生,很多企业进行网络隔离,其实主要都是为了安全原因: 1、涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。 网络隔离配图.jpg 网络上承载专用的业务,其安全性一定要得到保障,然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据共享交换本身就是天生的一对矛盾,通过网闸、DMZ 区、双网云桌面等方式实现内外网分离,会面临很多问题:1、通过FTP或网络共享进行内外网文件移动,网络隔离安全性降低,且依然需要专人管理执行,无法解决人工处理带来的问题。 1、灵活的审批策略 确保数据传输合规 2、完整的日志记录 实现全过程管控 3、传输加密策略 保障数据传输安全性 4、支持文件同步 实现文件自动化交换 网络隔离在网络安全建设中十分常用,随着企业IT业务系统的日益成熟 所以要实现网络隔离数据传输的安全可控,一定要针对企业的实际需求来选择产品!
2.1K30发布于 2019-09-02 - 来自专栏后端开发技术
Docker网络高级实战:隔离网络、检查路由表和自定义网络驱动
ether02:42:40:65:67:d8txqueuelen0(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns0frame0TXpackets5bytes526 但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。集群的时候使用。overlay驱动。通过网络虚拟化技术,在同一个物理网络上构建出一张或多张虚拟的逻辑网络。适合大规模的云计算虚拟化环境。 brctlshowbridgenamebridgeidSTPenabledinterfacesdocker08000.0242406567d8noveth0fdda42veth6a2fa56vethdc1f5f2 2.5、网络隔离效果展示我们都知道,不同网络的机器是不能通信的。(1)创建两个bridge网络。 三、总结掌握Docker网络高级实战对于构建安全、高效且可扩展的云原生应用程序非常重要。理解Docker网络隔离机制,并使用标签和策略实施网络隔离。
76910编辑于 2025-09-24 - 来自专栏网络技术联盟站
华为网络工程师 | 如何配置端口隔离?
1、应用场景 当用户需要实现报文之间的二层隔离,又不希望浪费VLAN资源。此时,可以配置端口隔离,通过将端口加入到隔离组实现不同端口报文间的二层隔离。 配置接口加入到隔离组。 3、操作步骤 # 配置GE0/0/1的端口隔离功能。 HUAWEI -GigabitEthernet0/0/1] port-isolate enable [HUAWEI -GigabitEthernet0/0/1] quit # 配置GE0/0/2的端口隔离功能
80110发布于 2019-11-27 - 来自专栏网络技术联盟站
常见网络安全设备:安全隔离网闸
来源:网络技术联盟站 链接:https://www.wljslmz.cn/17835.html 定义 安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。 功能模块 安全隔离闸门的功能模块有: 安全隔离 内核防护 协议转换 病毒查杀 访问控制 安全审计 身份认证 主要功能 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接 ,而不能同时与两个网络连接; 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。 如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。 2、网络交换信息的区别 安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。
2.1K10编辑于 2023-03-05 - 来自专栏FreeBuf
关于网络安全域隔离问题的研究与思考
四、传统网络安全域隔离方式 说了这么多网络安全域隔离的问题,那么具体怎么实现呢?有什么方式呢?以笔者的经验主要有物理隔离、逻辑隔离(防火墙隔离、VLAN隔离等)。 (一)物理隔离。 这里面又分为几种:1、强物理隔离。从字面上看,这是一种非常容易理解的网络隔离方式,两个网络安全域从网络线路、网络设备、系统主机等硬件系统层面都是单独部署一套,两者之间严禁各种网络连接。 然而,在虚拟化/云计算环境下,有没有必要进行网络安全域隔离?如何进行网络安全域隔离呢?笔者翻阅了阿里云、华为云等云计算公司发布的白皮书,网络安全域隔离仍然是其网络安全架构的基本实现方式之一。 上面这一段话,我们看到了阿里云基础平台怎么实现网络安全域隔离的,首先,阿里云分为生产网和非生产网,其次,阿里云分为对外提供服务的云服务网络和支撑云服务的物理网络,最后,我们还看到了阿里云办公网与生产网络的隔离 、初探下一代网络隔离与访问控制 赵彦 5、阿里云安全白皮书 6、数据安全架构设计与实战 郑云文 (本文是作者在企业安全实践中一些分析和思考,也是作者的一家之言,供大家参考。
3.6K21发布于 2020-05-14 - 来自专栏coding个人笔记
css 隔离
css隔离就是为了解决这个问题。 css Modules: 这其实跟命名空间有点类似,vue应该就是使用类似的方法,给选择器加上特殊的字符串,达到css隔离的效果。 css-in-js: 这个概念已经诞生很多年了,作为开发了快四年的前端,还是因为了解一下css隔离才知道有这个东西。 ; p.innerText = '这是shdow dom';shadow.appendChild(p); 不过奇怪的是自己实现的能在标签那边看见,Shadow DOM真正意义上的实现了dom和css的隔离
1.6K30发布于 2020-08-21 - 来自专栏FreeBuf
CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光
维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册,这个工具集是用来专攻物理隔离网络的,或者说未接入互联网的网络的,目标主要就是企业和关键基础设施了。 CIA的这系列工具主要针对物理隔离网络,其攻击流程还是比较复杂的,毕竟未接入互联网的设备在安全性上具备了先天优势:首先是用前面提到的Drifting Deadline,针对每个目标来生成第一和第二阶段的恶意程序 被感染的设备可以协同作战 其实“残忍的袋鼠”精华所在是感染物理隔离网络之后,将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。 维基解密提到: “如果隔离网络中的多台设备都已经被CIA控制,这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明,但这种入侵隔离网络的方式和震网还是非常相似。” ? 至于新版本的Shadow感染方法,还是要从上面的第一阶段开始,感染USB设备来投递新的Shadow版本到物理隔离网络中。 CIA或许已经开发出了新版本?
1K40发布于 2018-02-28 - 来自专栏运维之美
5 分钟读懂 MySQL 四种隔离级别间的区别
读完需要13分钟 速读仅需5分钟 1、什么是事务 事务是应用程序中一系列严密的操作,所有操作必须成功完成,否则在每个操作中所作的所有更改都会被撤消。 隔离性:一个事务的执行不能其它事务干扰。即一个事务内部的操作及使用的数据对其它并发事务是隔离的,并发执行的各个事务之间不能互相干扰。 3MySQL 的四种隔离级别 SQL 标准定义了 4 类隔离级别,包括了一些具体规则,用来限定事务内外的哪些改变是可见的,哪些是不可见的。低级别的隔离级一般支持更高的并发处理,并拥有更低的系统开销。 在 MySQL 中,实现了这四种隔离级别,分别有可能产生问题如下所示: ? 4、测试 MySQL 的隔离级别 下面,将利用 MySQL 的客户端程序,我们分别来测试一下这几种隔离级别。 来源:知乎 原文:https://url.cn/5tswojh 题图:来自谷歌图片搜索 版权:本文版权归原作者所有 投稿:欢迎投稿,邮箱: editor@hi-linux.com
1.1K30发布于 2019-10-31 - 来自专栏FreeBuf
利用空调系统对隔离网络中的电脑发送指令
供热通风与空气调节(HVAC)系统可以用作传输数据,即便是隔离网络的电脑,黑客也可以利用空调系统向断网的电脑发送指令。 以色列内盖夫本格里安大学网络安全研究中心的研究员想到了这种奇葩的攻击方式,他们还开发了专门的PoC软件用来执行HVACKer攻击。 然后攻击者就会进一步感染隔离网络中的计算机,虽然听起来很难,因为我们知道,既然已经隔离了网络,就证明安全性很高,不过以往Stuxnet, Gauss和Flame的案例证明,通过U盘感染成功的可能性很大。 攻击者发现病毒已经渗透入网络后,他便可以更改温度设置从而发送一些指令到断网的计算机。 相比窃取数据,更适合发送指令 利用楼层的HVAC系统,温度波动信息可以向整栋楼广播。 而其他的研究人员也通过HVAC系统攻破Google澳大利亚的网络。
1.1K100发布于 2018-02-27 - 来自专栏nobody
高可用:故障隔离方案【隔离术】
故障隔离的基本原理就是在故障发生时能够及时切断故障源,以防止故障扩散到整个系统。隔离范围由高到低的排序,反映了不同级别的隔离策略和它们在系统架构中的作用。以下是对这些隔离级别的简要说明: 1. 数据中心隔离: 数据中心隔离是在物理层面上最彻底的隔离方式,意味着将服务部署在不同的数据中心。这样,即使一个数据中心发生故障,其他数据中心仍然可以继续提供服务。这种隔离级别最高,但成本也最高。 2. 网络隔离: 网络隔离是通过在不同网络或子网中部署服务来实现的。这样可以限制故障在一个网络区域内传播,同时可以通过网络策略和防火墙来控制不同服务之间的通信。 4. 服务隔离: 服务隔离是指在逻辑上将服务分开,使得每个服务都是独立运行的。这可以通过容器化、微服务架构或服务网格来实现。服务隔离有助于确保一个服务的故障不会直接影响到其他服务。 5. 进程级隔离可以通过在不同机器上部署进程来实现,从而进一步隔离故障。 8.资源隔离: 将系统资源分成几个部分,每部分资源负责一个模块,避免资源争抢。
98510编辑于 2024-09-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号