- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
隔离网络那点事
通过无法访问互联网的封闭网络保护重要资产,攻击者不能与隔离网络(全文都在说物理隔离网络)直接通过网络接触,传统攻击渗透手段都会失效,但是隔离网络并不代表绝对安全,虽然隔离了网络访问,但由于网络维护、数据交互等原因 本文对freebuf历史上发表过的有关隔离网络相关攻击技术进行梳理性解读。 一、相关概念 Air-Gapped Devices 从未连接互联网的设备,封闭的计算机网络或独立的安全隔离网络。 三、技术工具 隔离网络的攻击难点在于武器进入、过程控制、信息输出三个部分。 1)控制通道 震网病毒 过程控制取决于攻击意图、网络具体情况,参考安天报告。 HVACKER 利用供热通风与空气调节(HVAC)系统向隔离网络电脑发送指令。 CIA网络武器主要针对微软Windows操作系统进行攻击,通过 USB存储介质对安全隔离网络进行渗透攻击和窃取数据。
1.5K30发布于 2019-12-23 - 来自专栏巫山跬步
简单主机网络隔离方案
前言 如果想隔离主机中进程的网络环境,可以使用network namespace(后面简称ns)来做。隔离方法很多种,本文介绍几种简单的可行方案。 net exec $myns ip link set eth0 up ip net exec $myns ip route add default via 10.0.6.1 dev eth0 设置后隔离环境网络情况为 inet6 fe80::98c1:6dff:fede:deb7/64 scope link valid_lft forever preferred_lft forever 设置后隔离环境网络情况为 设置后主机环境网络情况为: [zj.png] 设置后隔离环境网络情况为: [gl.png] 和另一台cvm测试网络连通性: 隔离环境连通另外一台cvm: [ping.png] //另一台cvm连通隔离环境 写在后面 网络隔离通常用于容器服务,上面是自己基于underlay网络做的一些实践,如有错误,还请指出,感谢阅读!
2.1K64发布于 2021-03-06 - 来自专栏shysh95
Kubernetes Pod间网络隔离
Hi~朋友,关注置顶防止错过消息 网络隔离的对象 使用NetworkPolicy对象来实现。 NetworkPolicy对象示例 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy cidr: 10.0 . 0.0 / 24 ports: - protocol: TCP port: 5978 spec.podSelector:定义被网络隔离器管理 pod(default namespace pod上有roles:db标签的Pod) policyTypes:网络隔离的方向,入口(ingress)或者出口(egress) ingress:可以有三种方式来定义如何隔离入口流量 如何实现网络的隔离 Kubernetes对Pod进行隔离依靠的就是在宿主机上生成NetworkPolicy对应的iptables规则来进行实现。
80230编辑于 2023-08-23 - 来自专栏cuijianzhe
zabbix agent 隔离网络ICMP监控实现
: UserParameter=ping.storage,/bin/bash /etc/zabbix/zabbix_agentd.d/pingstorage.sh 标题:zabbix agent 隔离网络
31820编辑于 2023-11-20 - 来自专栏腾讯云原生团队
用Kube-router实现网络隔离
Network Policy Network Policy是k8s提供的一种资源,用于定义基于pod的网络隔离策略。 Networking IPVS/LVS based service proxy Network Policy Controller 在腾讯云TKE上,Pod Networking功能由基于IAAS层VPC的高性能容器网络实现 ,同一namespace的pod互通 通过 不同namespace的pod互相隔离,同一namespace的pod隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A 通过 允许某个 namespace访问集群外某个CIDR,其他外部IP全部隔离 通过 不同namespace的pod互相隔离,白名单指定B可以访问A中对应的pod以及端口 通过 以上用例,当source pod 和 destination pod在一个node上时,隔离是否生效 通过 功能测试用例
1.9K41发布于 2020-02-14 Docker网络实战:容器通信与隔离之道
1.2 常见网络类型 Bridge网络(桥接网络):是 Docker 的默认网络模式,它会在宿主机内部创建一个私有虚拟网络,容器像连接到同一个虚拟交换机一样被分配独立IP,并通过NAT与外部通信,是实现单主机上多容器间通信最常用且隔离性良好的方式 Host(宿主机网络):让容器直接共享宿主机的网络命名空间,容器本身没有独立IP,直接使用主机网卡和端口,消除了NAT开销从而提供最佳网络性能,但代价是牺牲了网络隔离性并可能引发端口冲突。 新创建的容器不会创建自己的网卡,配置自己的 ip,而是和一个指定的容器共享 ip,端口等,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。 None(无网络):模式为容器提供了一个完全无网络的环境,内部仅存在回环接口,使其与外界彻底隔离,适用于追求绝对安全或只需执行离线计算的特殊任务。 exec -it box4 ifconfig 该模式的缺点:宿主机和容器的端口是共用的,无隔离,所以不能让它们用相同的端口。
35010编辑于 2025-11-15- 来自专栏Rainbond开源「容器云平台」
eBPF Cilium实战(1) - 基于团队的网络隔离
--------------------------------------------------------- ✅ 69/69 tests successful (0 warnings) 设置团队网络隔离 Cilium 的网络隔离策略遵循白名单机制,在不创建网络策略的情况下,对于网络不作任何限制,在为指定类型的 pod 集合创建网络策略后,除策略中允许的访问地址外,其它请求都会被拒绝。 不受任何特殊限制 [2.png] [3.png] 限制只允许本团队内组件互相访问,隔绝其它团队访问 在实际生产中,一个集群内部可能会同时部署开发、测试、生产等多个团队,基于安全性的考虑,需要对每个的团队做出网络隔离 png] [9.png] 设置开发团队允许本团队下组件访问的同时,允许开发团队下的 nginx-dev 组件被测试团队中任意组件访问 在设置了团队网络隔离的情况下,有时候需要临时开放一些组件给其它团队访问以便进行调试 ,下面以 nginx-dev 组件为例说明如何在设置网络隔离的情况下开放外部团队的访问权限。
1.1K40编辑于 2022-04-06 - 来自专栏SDNLAB
如何实现网络切片的端到端隔离?
# 资源隔离 某一网络切片所使用的网络资源与其他网络切片所使用的资源之间相互隔离。 # 运维隔离 对于一部分网络切片用户来说,在提供业务隔离和资源隔离的基础上,还要求能够对运营商分配的网络切片进行独立的管理和维护操作,即做到对网络切片的使用近似于使用一张专用网络,网络切片通过管理平面接口开放提供运维隔离功能 根据切片的安全隔离要求,在 DU、CU上的隔离机制可单独或组合使用。 承载网的切片隔离 网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。 网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式,在对网络切片使用 VLAN实现逻辑隔离的情况下,进一步利用 FlexE分片技术,实现在时隙层面的物理隔离。 网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现,如下图所示。 根据应用对安全的需求,可提供物理隔离和逻辑隔离两种隔离方案。
1.3K10编辑于 2022-12-13 - 来自专栏运维小路
Kubernetes(k8s)-隔离(Cordon)和驱逐(Drain)
在 Kubernetes(k8s)中,隔离(Cordon)和驱逐(Eviction)是管理节点和 Pod 的两个重要操作。 隔离节点的步骤如下: #获取所有节点 kubectl get nodes #对需要隔离的节点进行隔离操作 kubectl cordon node01 实际上这个隔离就是给这个主机打上一个污点和添加一个新字段 取消隔离 当我们对这个机器维护完成以后,开机运行以后,这个节点的状态会自动变成Ready状态,但是由于我们执行了隔离操作,所以这个时候除了DaemonSet会正常运行外,其他Pod并不会调度过来,所以我们还需要对他执行取消隔离操作 历史推荐内容Docker-docker基本信息,基本命令,dockerfile,原理,仓库,存储网络日志,番外篇云计算&虚拟化-包括服务器购买,虚拟化介绍,虚拟磁盘,虚拟网络,创建虚拟机,安装虚拟机,dashboard Linux进阶-包括硬件,日常运维,基础软件,日志,进阶命令,防火墙,shell编程,内核,linux系统及初始化Linux基础-包括文件的增删改查,磁盘管理,网络配置,用户配置,权限配置
61000编辑于 2025-02-19 - 来自专栏信安之路
隔离网络环境下如何实现文件传输
为了防止内部数据的泄密,他们先做了内外网隔离,后来又将内网隔离出了研发网和办公网,并且研发网内部采用了云桌面虚拟化的方式。 据了解,不光是科技型企业,金融、医疗、电力、政府、制造等行业,大部分都做了网络隔离,甚至在内部隔离出更多的网络,比如生产网、测试网等。 通过隔离的方式将重要数据“困”在内部,从而提升网络整体安全水平。 隔离后如何安全的发送文件呢? 网络隔离后,不同网络之间就无法互传文件了,使得跨网业务无法顺利开展。 小张公司经过调研和梳理后,总结出了安全可控、便捷高效的跨网文件摆渡,是需要满足以下需求的: 1、在确保网络隔离安全的前提下,终端用户可以简单快捷的收发文件; 2、跨网收发文件时,一些重要、敏感文件可能需要经过领导审批 ,可进行灵活的权限分配,支持部门空间、项目空间的协作管理模式,各工作空间逻辑隔离,互不影响,可独立开展文件管理和安全管控; 3、不仅可以实现内部隔离网间的文件摆渡,还可以支持和外部合作伙伴之间的文件安全收发
1.3K10编辑于 2022-12-30 - 来自专栏企业文件数据安全交换
网络隔离数据传输如何实现安全互通?
网络隔离,相信每个企业都不陌生,很多企业进行网络隔离,其实主要都是为了安全原因: 1、涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。 网络隔离配图.jpg 网络上承载专用的业务,其安全性一定要得到保障,然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据共享交换本身就是天生的一对矛盾,通过网闸、DMZ 区、双网云桌面等方式实现内外网分离,会面临很多问题:1、通过FTP或网络共享进行内外网文件移动,网络隔离安全性降低,且依然需要专人管理执行,无法解决人工处理带来的问题。 1、灵活的审批策略 确保数据传输合规 2、完整的日志记录 实现全过程管控 3、传输加密策略 保障数据传输安全性 4、支持文件同步 实现文件自动化交换 网络隔离在网络安全建设中十分常用,随着企业IT业务系统的日益成熟 所以要实现网络隔离数据传输的安全可控,一定要针对企业的实际需求来选择产品!
2.1K30发布于 2019-09-02 - 来自专栏后端开发技术
Docker网络高级实战:隔离网络、检查路由表和自定义网络驱动
<link>ether02:42:40:65:67:d8txqueuelen0(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns0frame0TXpackets5bytes526 但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。集群的时候使用。overlay驱动。通过网络虚拟化技术,在同一个物理网络上构建出一张或多张虚拟的逻辑网络。适合大规模的云计算虚拟化环境。 :c2ff:fe6c:4291prefixlen64scopeid0x20<link>ether8e:ab:c2:6c:42:91txqueuelen0(Ethernet)RXpackets0bytes0 2.5、网络隔离效果展示我们都知道,不同网络的机器是不能通信的。(1)创建两个bridge网络。 三、总结掌握Docker网络高级实战对于构建安全、高效且可扩展的云原生应用程序非常重要。理解Docker网络隔离机制,并使用标签和策略实施网络隔离。
76910编辑于 2025-09-24 - 来自专栏JavaEdge
精通Java事务编程(8)-可串行化隔离级别之可串行化的快照隔离
本系列文章描述了DB并发控制的黯淡: 2PL虽保证了串行化,但性能和扩展不好 性能良好的弱隔离级别,但易出现各种竞争条件(丢失更新,写倾斜,幻读 串行化的隔离级别和高性能就是相互矛盾的吗? 也许不是,一个称为可串行化快照隔离(SSI, serializable snapshot isolation)算法很有前途。提供完整的可串行化保证,而性能与快照隔离相比只有很小性能损失。 SSI基于快照隔离,即事务中的所有读取都基于DB的一致性快照(参阅本文的快照隔离、可重复读),这和早期乐观锁的主要区别。 在快照隔离基础上,SSI新增一种算法检测写入之间的串行化冲突,并确定要中止哪些事务。 相比于2PL,可串行化快照隔离最大优点:事务无需阻塞等待其它事务所持有的锁。这和快照隔离一样,读写不互相阻塞。这使查询延迟更稳定、可预测。
1.2K20编辑于 2022-07-25 - 来自专栏网络技术联盟站
华为网络工程师 | 如何配置端口隔离?
1、应用场景 当用户需要实现报文之间的二层隔离,又不希望浪费VLAN资源。此时,可以配置端口隔离,通过将端口加入到隔离组实现不同端口报文间的二层隔离。 配置接口加入到隔离组。 3、操作步骤 # 配置GE0/0/1的端口隔离功能。 HUAWEI -GigabitEthernet0/0/1] port-isolate enable [HUAWEI -GigabitEthernet0/0/1] quit # 配置GE0/0/2的端口隔离功能
80110发布于 2019-11-27 - 来自专栏网络技术联盟站
常见网络安全设备:安全隔离网闸
来源:网络技术联盟站 链接:https://www.wljslmz.cn/17835.html 定义 安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。 功能模块 安全隔离闸门的功能模块有: 安全隔离 内核防护 协议转换 病毒查杀 访问控制 安全审计 身份认证 主要功能 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接 ,而不能同时与两个网络连接; 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。 如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。 2、网络交换信息的区别 安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。
2.1K10编辑于 2023-03-05 - 来自专栏北漂的我
RockyLinux 8 网络设置
使用 nmcli 重新加载网络配置 nmcli c reload
4K20编辑于 2022-05-06 - 来自专栏FreeBuf
关于网络安全域隔离问题的研究与思考
四、传统网络安全域隔离方式 说了这么多网络安全域隔离的问题,那么具体怎么实现呢?有什么方式呢?以笔者的经验主要有物理隔离、逻辑隔离(防火墙隔离、VLAN隔离等)。 (一)物理隔离。 这里面又分为几种:1、强物理隔离。从字面上看,这是一种非常容易理解的网络隔离方式,两个网络安全域从网络线路、网络设备、系统主机等硬件系统层面都是单独部署一套,两者之间严禁各种网络连接。 然而,在虚拟化/云计算环境下,有没有必要进行网络安全域隔离?如何进行网络安全域隔离呢?笔者翻阅了阿里云、华为云等云计算公司发布的白皮书,网络安全域隔离仍然是其网络安全架构的基本实现方式之一。 上面这一段话,我们看到了阿里云基础平台怎么实现网络安全域隔离的,首先,阿里云分为生产网和非生产网,其次,阿里云分为对外提供服务的云服务网络和支撑云服务的物理网络,最后,我们还看到了阿里云办公网与生产网络的隔离 一般情况下,每个VPC都需要指定 1 个网段,网段范围如下: 10.0.0.0/8 (10.0.0.0 - 10.255.255.255) 172.16.0.0/12 (172.16.0.0 - 172.31.255.255
3.6K21发布于 2020-05-14 - 来自专栏coding个人笔记
css 隔离
css隔离就是为了解决这个问题。 css Modules: 这其实跟命名空间有点类似,vue应该就是使用类似的方法,给选择器加上特殊的字符串,达到css隔离的效果。 css-in-js: 这个概念已经诞生很多年了,作为开发了快四年的前端,还是因为了解一下css隔离才知道有这个东西。 ; p.innerText = '这是shdow dom';shadow.appendChild(p); 不过奇怪的是自己实现的能在标签那边看见,Shadow DOM真正意义上的实现了dom和css的隔离
1.6K30发布于 2020-08-21 - 来自专栏FreeBuf
CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光
维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册,这个工具集是用来专攻物理隔离网络的,或者说未接入互联网的网络的,目标主要就是企业和关键基础设施了。 不过Drifting Deadline手册中提到,后者似乎更为高效,因为它支持Windows 7/8/8.1,而Giraffe的执行向量已经在绝大部分Windows系统中修复,基本上就只对Windows 被感染的设备可以协同作战 其实“残忍的袋鼠”精华所在是感染物理隔离网络之后,将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。 维基解密提到: “如果隔离网络中的多台设备都已经被CIA控制,这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明,但这种入侵隔离网络的方式和震网还是非常相似。” ? 至于新版本的Shadow感染方法,还是要从上面的第一阶段开始,感染USB设备来投递新的Shadow版本到物理隔离网络中。 CIA或许已经开发出了新版本?
1K40发布于 2018-02-28 - 来自专栏FreeBuf
利用空调系统对隔离网络中的电脑发送指令
供热通风与空气调节(HVAC)系统可以用作传输数据,即便是隔离网络的电脑,黑客也可以利用空调系统向断网的电脑发送指令。 以色列内盖夫本格里安大学网络安全研究中心的研究员想到了这种奇葩的攻击方式,他们还开发了专门的PoC软件用来执行HVACKer攻击。 然后攻击者就会进一步感染隔离网络中的计算机,虽然听起来很难,因为我们知道,既然已经隔离了网络,就证明安全性很高,不过以往Stuxnet, Gauss和Flame的案例证明,通过U盘感染成功的可能性很大。 攻击者发现病毒已经渗透入网络后,他便可以更改温度设置从而发送一些指令到断网的计算机。 相比窃取数据,更适合发送指令 利用楼层的HVAC系统,温度波动信息可以向整栋楼广播。 而其他的研究人员也通过HVAC系统攻破Google澳大利亚的网络。
1.1K100发布于 2018-02-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号