Grimm·-优快云博客

原创容器安全——云原生中镜像容器全生命周期防护思路

Docker 的运行过程，也就是去仓库把镜像拉到本地，然后用执行命令把镜像运行起来变成容器，这也就是为什么人们常常将 Docker 称为码头工人或码头装卸工；但是在威胁无处不在的今天，镜像生命周期的安全问题就成了云原生开发者不得不面对的问题，那么如何去做好镜像容器的全生命周期防护呢，传统安全产品如防火墙、EDR、漏扫、安全基线等产品是否还依旧有效呢？

2022-12-14 11:59:10 980

OSPF协议作为园区网络中较为常见的路由协议，其配置的安全性和重要性自然不言而喻。如何有效防御OSPF的安全隐患，OSPF的设计师们在设计它的时候加入了许多项的安全性设计，主要体现在以下两个方面：1.反攻击机制（fightback）：即使攻击者通过以合法的伪造信息“混入”LSDB，但是OSPF会“以其人之道，还治其人之身”的方式将构建一个伪造的信息回复给发出者，并且将其剔除出网络。2.认证机制：让路由器之间共享明文密码或者MD5加密校验和。认证机制在RFC 2178发布之前，OSPF认证功能只支持区

2021-09-04 15:42:00 3227 3

原创 MPLS流量工程（TE）

文章目录MPLS协议简介MPLS工作原理MPLS工作过程角色MPLS控制面的工作过程MPLS转发面的工作过程MPLS流量工程什么是流量工程？MPLS流量工程用到的接口参数MPLS流量工程的工作过程意义90年代初，互联网流量快速增长，而由于当时硬件技术的限制，路由器采用最长匹配算法逐跳转发数据包，成为网络数据转发的瓶颈。快速路由技术成为当时研究的一个热点。在各种方案中，IETF确定MPLS协议作为标准的协议。MPLS采用短而定长的标签进行数据转发，大大提高了硬件限制下的转发能力;而且MPLS可以扩展到多种

2021-08-24 20:34:06 3934 1

原创零信任较于传统接入方式的优势

啥是零信任，这个概念设定在几个假想条件之上，没有绝对安全的网络，不管是内部还是外部反正我就啥也不信任，即使对于通过身份验证的用户而言，零信任对它是信任了但没完全信任

2021-08-21 23:21:49 2239 3

原创 SD-WAN、MPLS 、IPsec 和物理专线的区别

目前主流的专线解决方案比较常见的就是SD-WAN、MPLS VPN、IPsec Npn和物理专线这四种，本文就四者的优劣及应用场景简单的谈一下对四者的看法，在这之前要明确的是这四者都属于专线，专线分为虚拟专线和物理专线，SD-WAN、MPLS VPN和IPsec VPN都属于虚拟专线对绝大多数公司来说，自己花钱拉一根专有的网线或光纤，把总公司和分公司的网络连接起来，是一件不可能的事情，工程量和成本造价是个天文数字，物理专线的成本非常高，但是不论是数据安全性还是链路可用性都是顶级的存在，常用于金融政府机.

2021-08-03 19:01:32 16190 2

原创 tcp四次挥手只抓的到3个包的原因分析

理论上来说，tcp的四次挥手过程是这样的但是在今天真机抓包的时候发现了实际四次握手的第二次和第三次貌似是合并在一起了，并没有分成两次来发送（seq和ack的值是没问题的）如图：整个通信过程的最后3个包为四次挥手的过程...

2021-03-06 23:09:00 4380 8

原创如何理解企业安全基线（含最佳实践）

从软件自身到实际运行业务的视角来看，应用自身的安全配置、其所在操作系统的安全配置，其所在网络本身安全配置、其所在组网的其他安全设备的安全配置，可能由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP协议等方面的配置要求，配置不当导致系统存在安全风险；：漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险，如系统登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、恶意代码执行等，反映了系统自身的安全脆弱性；：包含系统端口状态、进程、账号、服务以及重要文件变化的监控。防火墙、路由器、交换机等。

2024-04-18 16:34:01 856

原创在无线中创建SSID时，转发模式中的集中转发和直接转发有什么区别？

集中转发（Centralized Forwarding）：直接转发（Local Forwarding）：

2024-04-07 11:49:14 557

原创 wireshark安装报错：Capture session could not be initiated win&mac解决办法

Capture session could not be initiated” 错误通常表示 Wireshark 无法启动网络捕获功能，可能是由于权限、网络接口配置或其他原因导致的。检查其他应用程序：检查是否有其他应用程序正在使用网络接口。如果有其他应用程序正在使用网络接口，则 Wireshark 将无法启动捕获会话。检查网络接口状态：检查网络接口是否已启用或连接。检查防火墙设置：检查防火墙设置是否允许 Wireshark 访问网络接口。设置网络接口：检查 Wireshark 是否正确配置了网络接口。

2023-05-15 15:42:19 1204 1

原创一文带你上高速入门linux系统操作（含常用命令语法、说明、举例）

Linux是一个基于UNIX的开源操作系统，它由Linus Torvalds于1991年首次发布。Linux操作系统具有高度的可定制性、稳定性和安全性，广泛应用于服务器、桌面计算机、嵌入式设备等领域。

2023-04-24 16:06:35 851

原创安装docker-ce时报错Error: docker-ce conflicts with 2:docker-1.13.1-209.git7d71120.el7.centos.x86_64

安装docker-ce时报错Error: docker-ce conflicts with 2:docker-1.13.1-209.git7d71120.el7.centos.x86_64

2022-10-18 20:31:12 4455

原创 docker安装报错Loading mirror speeds from cached hostfile解决方案

在安装docker时，采用命令去安装/清除/加载yum -y install docker/yum cleam all/yum makecache均出现报错：Loading mirror speeds from cached hostfile

2022-10-18 19:46:31 4400

原创从小白快速入门爆火的“云原生”

文章目录云原生概念云原生概念云原生这个词最初来源于谷歌的一个基金会——云原生计算基金会，根据这个基金会的定义，云原生是一套技术体系和方法论。要想了解云原生，我们可以把其分解为两部分，“云”和“原生”；云则代表应用所处的环境并不是传统的物理服务器，而是在“云”上，原生则代表应用开发应用的设计之初就考虑到应用所处的环境是在云环境之上，所以需要结合云的特点（分布式，弹性，）再进行开发。原生为云而设计，在云上以最佳的状态运行。...

2022-05-27 11:03:14 320

原创思科ipsec配置及trouble shooting详解

拓扑：R2模拟总部出口，R3模拟分支出口，R4，R5分别模拟对于内网设备目的：使用ipsec vpn打通两端内网整体配置思路：1.建立vpn的前提是隧道两端的公网ip网络可达2.需要配置第一阶段（DH协商，预共享密钥），第二阶段（感兴趣流，转换集（封装协议，封装模式）触发MAP匹配感兴趣流）3.调用MAP到出口端口具体配置：第一阶段配置DH协商（第一二个报文交互）crypto isakmp policy 10encryption aes 256 //加密算法authenticat

2022-01-25 11:38:21 6679 2

原创 OSPF虚链路

OSPF支持一种名叫虚链路(virtual link)的特性，当ABR与骨干区域之间没法建立物理连接的情况下，可利用该特性来建立逻辑连接，虚链路的用途如下：1.当非骨干区域与骨干区域之间无法通过物理链路直连时，可让两者之间通过这种逻辑链路互连。2.可用来防止骨干区域的“分裂”，或可用来把发生“分裂”的骨干区域合并。上图就是第一种用途，当OSPF的ABR无法与骨干区域的设备直接连接时，可以采用虚链路的方式将区域跨越非骨干区域连接到骨干区域（本例R5跨越区域1使得区域2与区域0“直连”）图2则为第二

2021-09-04 15:34:01 3043

原创 DHCP服务器回复的offer报文和ack报文一定是单播吗

众所周知，DHCP的报文交互一共4个报文交互过程：1.客户机发送广播discover报文请求分配ip地址2.收到discover报文的dhcp服务器都会回应offer报文，里面携带了给客户机分配的IP地址3.客户机收到offer报文之后会再次广播（只对收到的第一个offer报文进行回复动作）发送request报文，携带接收的dhcp服务器的ip地址，向外部宣告接受的是哪台dhcp服务器4.服务器收到request报文，会对报文里dhcp的ip进行校验，若ip与自己一致，则回复ack报文（携带分配给客

2021-04-29 22:05:45 4351

原创快照中的写时重定向ROW和写时拷贝COW有什么区别

ROW（Redirect-on-Write）：ROW在写入数据的时候直接写入到快照卷；读源卷时，创建快照前的数据从源卷读，创建快照后产生的数据，从快照卷读。COW（Copy-on-Write）：COW就是每当你写入数据之前，快照先对源卷数据进行复制，然后新数据才写进源卷；快照进行读操作时，首先由快照系统判断，上层业务需要读取的数据是否在快照卷中，若在，直接从快照卷读取，若不在，则查询映射表，去对应源卷的逻辑地中读取（这个查表并去源卷读的操作，也叫读重定向）使用场景区别：可以看出COW在写入时需要拷贝一

2021-04-04 17:38:24 1870

原创 IAAS，PAAS，SAAS与XAAS的关系

众所周知，云计算的服务模式一般分为3类，即IAAS(infrastructure as a service)，PAAS（platform），SAAS（software），可以明显的从命名上感受到三种服务模式的区别，具体如下图（图中i不小心写成了l）：想必各位可能也有耳闻一个最近忽然火起来的一个概念——XAAS，那么什么是XAAS呢？XAAS的全称是X as a service，一切即服务，X代表所有而不是某个单词的缩写。这一缩写指越来越多地通过互联网提供的服务，而不仅仅指本地或现场服务，严格意义来讲它

2021-04-04 17:24:48 2201

原创深信服防火墙模拟web攻防（sql注入，xss等）

前提：A地为靶机，B为攻击机，防火墙布置在A连接外网处1、在A地和B地的PC上分别安装好xhack工具，深圳的PC为靶机，长沙的PC为攻击机；检测xhack连通性（靶机映射地址）2、在A的AF上配置用户和业务的安全防护策略；新建防DOS攻击策略新增业务防御策略配置用户防护策略开启联动封锁3、确保B的PC通过映射访问A的PC，然后利用B的PC攻击A的PC，测试策略的有效性，并导出xhack上的报告；进行sql注入xss攻击+网站扫描文件泄露SAVE病毒引擎检测封

2021-04-02 17:25:59 2391 1

原创浏览器输入网址之后底层通信过程抓包分析

dns请求dns回复tcp三次握手：第一个tcp包，syn=0（a），源端口为51386，目的端口为443第二个tcp包，syn=0（b），ack=1（a+1）源端口为443，目的端口为51386第三个tcp包：ack=1（b+1） seq=1（a+1）RST重置连接http交互报文http回复报文tcp四次挥手过程此处第2，3次挥手合并为一个报文，所以此处只有3个交互过程...

2021-03-06 23:04:45 350

原创 Mac Linux新装红帽虚拟机无法上网解决方案

新装的虚拟机上不了网，可能是外部网络上不了网，这个自行解决，还有可能是内部网卡配置有问题，桥接和nat都试试，一般换成桥接可以解决。还有一种情况是刚装的linux虚拟机没有获取ip，需要手动或者自动分配一个ip地址。可以采用dhclient获取ip地址获取到地址之后就可以上网了...

2021-03-05 14:12:52 1067

原创 NAT，DNAT，SNAT和双向NAT

NAT是一种地址转换技术，既可以将内网地址变成外网地址，反之亦可，相关概念如下图最近在学习的时候又遇到了NAT的一些问题，解决完之后对这个技术有了一些新的看法。NAT根据转换对象来分主要可以分为以下3种：DNATSNAT双向NATDNAT，D的单词是destination，意思为目的地，所以很容易理解这个类型的NAT，就是将目的地址进行转换，常用在外网>内网的转换SNAT，S的单词是source，意思为源，所以和上面一样，就是一个将源地址进行转换的技术，常用在内网>外网双向NA

2021-02-05 15:29:14 6834 2

转载等保2.0

2017年，《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”（第21条）、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”（第31条）。上述要求为网络安全等级保护赋予了新的含义，重新调整和修订等级保护1.0标准体系，配合网络安全法的实施和落地，指导用户按照网络安全等级保护制度的新要求，履行网络安全保护义务的意义重大。随着信息技术的.

2021-01-16 19:54:39 324

原创 “瘦”AP和“胖”AP的区别

1. AP基本概念无线AP（Access Point）：即无线接入点，它用于无线网络的无线交换机，也是无线网络的核心，无线AP），同样也是无线路由器（含无线网关、无线网桥）等类设备的统称，其作用是把局域网里通过双绞线传输的有线信号（即电信号）经过编译，转换成无线电信号传递给电脑、手机等无线终端，与此同时，又把这些无线终端发送的无线信号转换成有线信号通过双绞线在局域网内传输。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，可以覆盖几十米至上百米。无线AP（又称会

2021-01-14 16:49:01 20859 1

原创 MAC上VMware fusion 12安装vmware tools灰色解决办法

升级成big sur之后的版本，vmware也必须升级，否则之前的虚拟机会提示内存不够，无法开启那么就需要重装系统，但是重装就遇到以上问题，共享不了以下是解决办法：1.复制windos.iso,文件位置如图2.3.之后会自动跳出安装程序，一直下一步就行...

2020-11-21 23:00:20 15014 14

原创防火墙三种模式（路由/透明/混合模式）的特点

路由模式:所有接口配置ip地址，可以进行包过滤,但是修改拓扑时费事透明模式:顾名思义,用户感觉不到防火墙的存在,所有接口不需要配置ip地址, trust连接内网, untrust连接外网混合模式:防火墙同时存在路由接口和透明接口, 一般使用在双机热备,启动vrrp功能接口需要配置ip地址,其他接口不需要配置ip地址...

2020-10-06 21:30:45 8160

原创对称加密算法和非对称算法的区别

简单来说，对称算法就是整个加密解密过程使用同一个密钥，并且可以密文-密钥反推出原文；而非对称算法采用了两个密钥加密，一般是公钥加密，私钥解密。另外加密速度对称算法比非对称算法稍微快一些。综上，对称算法适合安全性较低的场景，非对称适合对安全性要求较高的场景对称算法：非对称算法：...

2020-09-16 20:24:53 8105

原创华为和思科的各个路由协议优先级（管辖距离）对比

华为：直连 0ospf 10静态 60rip 110bgp 170思科：直连 0静态 1ebgp 20ospf 110isis 115rip120egp 140ibgp 200未知 255

2020-08-26 15:51:17 1375

原创二层环路与三层环路有什么不同

二层环路原因：一般是由于物理拓扑存在环路，导致数据的互传，如交换机三角连接或者正方形连接三层环路原因：一般是路由器之间存在互指二层环路的影响：核心是因为二层交换机收到未知的数据后会进行泛洪，如果出现自环就会持续大量地泛洪形成广播风暴，mac地址震荡，最后导致设备内存耗尽，网络瘫痪三层环路的影响：因为有了ip头部的ttl字段的作用，所以数据包会在设备之间进行有限的传播，但是也会占用一部分内存和处理性能二层环路解决办法：stp/rstp/mstp技术，或者eth-trunk技术进行堆叠集群聚合，是物理无

2020-08-23 10:40:26 9680

等保2.0二级详细测评要求（含重点）

MPLS.xmind

数通IP222（上传于2020.6.16）.pdf

数通HCIP221（上传于2020.6.16）.pdf

空空如也