诗酒趁年华

在Linux生态中，SNAT（Source Network Address Translation，源网络地址转换）的实现堪称优雅：通过iptables或nftables工具链，开发者只需数行命令即可完成地址伪装与流量重定向。然而，当场景切换到Windows平台时，这一基础网络功能的实现却面临双重困境——系统架构的天然差异与版本功能的严格阉割。Windows Server系列（如Windows Server 2016/2019/2022）通过内置的NAT网关组件和PowerShell命令集。

最近在研究市面上的Windows版本的IPSec客户端，但发现基本对于IKEv1都不支持（），所以对我来说，就剩一条路了，用strongwan的windows版本，我们登上官网下载一波发行包：真到下载页面就傻眼了，并没有给出windos版本：我迅速google了一番strongswan win都没有现成的包，最坏的情况真的出现了，我需要自己编译StrongSwan Windos版，苦笑中。

Nmap试图确定服务协议 (如 ftp，ssh，telnet，http)，应用程序名(如ISC Bind，Apache httpd，Solaris telnetd)，版本号， 主机名，设备类型(如 打印机，路由器)，操作系统家族 (如Windows，Linux)以及其它的细节，如是否可以连接X server，SSH协议版本 ，或者KaZaA用户名)。如果收到ICMP不可到达错误 (类型3，代码1，2，3，9，10，或者13)，该端口也被标记为被过滤。U1描述向关闭的UDP发包产生的回复的特征；

当用户通过某种手段将两个请求同时抵达到服务端的应用程序，应用程序的两个线程会同时对数据库进行查询，进而都发现满足check条件，然后就会返回成功，然后再去更新数据库，因此此时现象是两个请求都被服务端认为满足条件了。您可能很想发送完整的正文，并依赖于不发送END_STREAM，但在某些使用 content-length 标头来决定消息何时完成，而不是等待END_STREAM的 HTTP/2 服务器实现上，这将中断。最后，发送保留的帧。您应该能够使用 Wireshark 验证它们是否位于单个数据包中。

我们经常会在我们后端服务前加一层代理去做负载均衡或认证，比较有名的就是apisix。但是，这样会出现一些问题，比如说后端服务无法获取到客户真实的ip，显示的都是代理的ip，对于业务展示会有问题。

传统的sdwan出现是解决多分支互联，分支到总部的连接，集中统一管理，差异化的用户保障，用户体验的问题，但随着分支机构增多，那么就需要在分支机构的流量入口处额外继续堆砌原来的一些安全或者审计终端，即使是分支人数不多，数据中心边界明确到数字化转型业务上云，还有可能是多云，其次是移动办公，随时随地任何终端的办公诉求，这就带来的是网络边界消失的，到处都会有网络威胁，那么自然而然就就有安全的需求，能想到我们基于身份的访问边界，也就是ztna。

右键点击「此电脑」-「属性」，找到「远程设置」，在「远程桌面」中勾选「允许远程连接到此计算机」，同时取消「仅允许运行使用网络级别身份验证的远程桌面的计算机连接」的勾选，然后点击「确定」。接下来我们就可以用控制端的 PC 测试一下，打开「远程桌面连接」，然后在「计算机」这一栏中输入云主机的公网 IP 后映射的端口号，比如我设置的 7002，然后点击连接。中点击「更改设置」，然后在下面找到「远程桌面」和「远程桌面（webSocket）」并分别勾选上「专用」和「公用」。

这三者关系是互补的，当SDL出现差错时，可以通过周期性的扫描，安全评估等工作将问题及时解决，而入侵检测（suricata），WAF（ModSecurity）等系统，则可以在安全事件发生后的第一时间进行响应，并有助于时候定损，如果三者只剩其一，都可能使得公司的安全体系出现短板，给攻击者带来可乘之机。

IPsec（Internet Protocol Security）是为IP网络提供安全性的协议和服务的集合，用于在不安全的网络上（一般是互联网），建立安全的网络通信，一个很常见的场景就是，我们可以通过IPsec隧道将分公司和总部的内网连接起来，使分支的员工安全的访问总部的资源，按照传统的做法，公司需要租用运营商的专线，专门拉一条网线将总部和分公司组网，虽然更安全，体验更好，但这个价格也灰常的恐怖。当没有感兴趣的流量时，那么隧道最终被会被拆除，只有下次系统检测到感兴趣的流量来临时，隧道才会重新建立。

知道连接的一方的身份。身份的特定的、细粒度的本质是零信任和零信任交换的基石——不仅对人，也对设备、可连接的东西和工作负载。这些实体必须提供一个有效的身份来区分自己，以便通过正确的控件集访问允许的资源，并应阻止所有其他访问权限。身份给了零信任一个谁在联系，他们的角色和责任的想法，但缺乏围绕联系的上下文。身份最初被认为是基于是否经过身份验证的初始实体提供“是”或“否”的二进制输出的能力。现在，我们必须将谁正在连接的细节与该连接的上下文联系起来，这允许对最小特权零信任的额外控制。

其次，为了增加可用性，防止因误报而阻止了合法的用户请求，我们应该在首次定义策略时，采取短时间内记录而不是直接拒绝访问，在一段评估期间，我们定期审核日志，持续衡量策略的有效性（灰度），在此过渡期间我们可以采用传统的安全来阻止恶意请求。最后，配置策略时，我们需要做一些用户限制，不能随意让普通用户配置重要策略，为了方便溯源和审计，我们也需要记录用户的操作日志，当然如果确信某些服务的用户是真实可靠的，那么也可与基于身份构建一个白名单以授权服务之间的连接。翻译：zhihu于顾而言。

在寻求建立系统安全性的信任值时，用户行为，服务或设备的健康状况是非常重要的指标，我们应该持续监控来自用户和设备的身份和健康信息，并把这些动态信息也输入到策略引擎中，让其动态的做出访问决策。例如，我们想知道我们的用户试图从哪里访问我们的服务，然后这些行为（用户访问时间或频次或关注点）或访问的位置信息都可以作为signal帮助策略引擎做出访问决策。

第二步，了解你的业务设备的一些信息，包括它们的位置，存储了哪些数据，数据的敏感性是怎样的。接入服务后，服务不应该有能力代表用户采取任何对系统中任何服务或数据高特权的访问，为服务提供适当访问权限的更好方法是将每个访问操作都绑定到一个存在访问范围和时间限制的令牌上，并于用户的身份相关联。服务或更准确地说，提供服务的软件，应该有自己独特的标识，通过维护允许连接列表，将服务之间的网络通信限制在所需的最小数量。事实上，权限通常都源自用户在其组织中的工作职能，当需要管理用户账户和权限是，我们的。

零信任架构是一种移除内网信任的一种系统设计方法，它假定访问网络的用户都是有敌意的，因此，每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现，而上下文又依赖于强大的身份验证，授权，设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构，或者你是零信任的初学者，那么我们的网络架构指南会是一个很好的阅读切入点。

文档属性检测主要是针对文档的类型、文档的大小、文档的名称进行检测，其中文档的类型的检测是基于文件格式进行检测，不是简单的基于后缀名检测，对于修改后缀名的场景，文件类型检测可以准确的检测出被检测文件的类型，并且可以通过自定义特征，去识别特殊的文件类型格式的文档。再通过客户端，将分级分类策略和文档加密等结合，应用到终端数据的日常流转和存储中。支持向量机是建立在统计学习理论的VC维理论和结构风险最小化原理基础上的，利用有限的样本所提供的信息对模型的复杂性和学习能力两者进行了寻求最佳的折中，以获得最好的泛化能力。

意在提供一个安全厂商产品清单的概况，来开阔安全圈知识广度，文中提到的知识简介和技术框架，仅针对入门用。

漏洞扫描技术是指利用已有的漏洞数据库，使用扫描+匹配的方式对计算机系统进行脆弱性检测，从而实现漏洞发现的一种安全防护手段，漏洞扫描的结果可以用于指导网安的管理人员及时处理系统中的漏洞，防患于攻击之前。