高级后台开发工程师

网络安全随笔

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

在计算机科学中，任何程序都可以被抽象为一个状态机，无论是我们熟知的日常工具（LibreOffice，Chrome）还是开发工具（IDE，GCC，GDB），它们本质没有任何区别。

【NJU-OS-JYY笔记】操作系统：设计与实现

2023 年漏洞扫描服务市场规模预计为 3.06（十亿美元）。漏洞扫描服务市场行业预计将从 2024 年的 3.48（十亿美元）增长到 2032 年的 9.54（十亿美元）。预测期内漏洞扫描服务市场 CAGR（增长率）预计约为 13.45% （2025 - 2032）。

【网络安全产品大调研系列】2. 体验漏洞扫描

对于操作系统来说，他应该越稳定越好，100年不更新代码才好呢，但是对于运行在操作系统的软件来说，它应该变化的越快越好，比如我想新增一些设备驱动，或者是iptables扩展，再或者内核到用户态进程的全链路监控（性能监控），再或者恶意程序在内核态挂钩关键函数（EDR杀毒），再或者传统的流量检测引擎都是运行在用户态的，那么赖系统调用和频繁的数据拷贝，性能开销大（CPU利用率高），且无法访问内核内部状态（如TCP重传队列）（现在有DPDK了，直接旁路协议栈更牛了）。

从0带你开始搭建ebpf开发环境

在基于Strongswan搭建IPsec站点到站点VPN的实际运维中，当遇到两侧流量选择器（Traffic Selector）定义的数据流无法互通时，常规的排障手段是通过Wireshark抓包分析。但IPsec协议栈的ESP封装机制会对有效载荷进行加密，导致抓包工具无法直接解析内层报文，这给问题定位带来了技术挑战。

StrongSwan跨平台IPsec ESP报文解密方法

在Linux生态中，SNAT（Source Network Address Translation，源网络地址转换）的实现堪称优雅：通过iptables或nftables工具链，开发者只需数行命令即可完成地址伪装与流量重定向。然而，当场景切换到Windows平台时，这一基础网络功能的实现却面临双重困境——系统架构的天然差异与版本功能的严格阉割。

Windos10及以上系统实现SNAT功能

最近在研究市面上的Windows版本的IPSec客户端，但发现基本对于IKEv1都不支持（如有遗漏支持的，请留言给我，谢谢大佬），所以对我来说，就剩一条路了，用strongwan的windows版本，我们登上官网下载一波发行包：

Linux跨平台编译StrongSwan Windows版

每次黑客攻击事件进行追溯的时候，根据日志分析后，我们往往发现基本都是系统、Web、 弱口令、配置这四个方面中的其中一个出现的安全问题导致黑客可以轻松入侵的。

【网络安全产品大调研系列】1. 漏洞扫描

竞争窗口，顾名思义就是web应用程序处理某一个请求时会有一个短暂的子状态转换，比如说首先查询数据库，然后做一个check，然后再更新数据库，这一系列的子状态转换就会出现竞争窗口：

【Web攻击最佳实践】1. Race Window

我们经常会在我们后端服务前加一层代理去做负载均衡或认证，比较有名的就是apisix。但是，这样会出现一些问题，比如说后端服务无法获取到客户真实的ip，显示的都是代理的ip，对于业务展示会有问题。对于7层的后端服务还好，可以在载荷里将客户的出口ip带上来，但是四层和三层就不太容易了，目前主流的有下面两种解决方案：

代理模式下获取客户真实IP

容器核心技术，包括容器规范，容器runtime，容器管理工具，容器定义工具，容器OS，Registries。

【笔记】Enjoy Docker

安全访问服务边缘 (SASE) 是一种云原生架构，它将 SD-WAN 与 SWG、CASB、FWaaS 和 ZTNA 等安全功能统一到一项服务中，SASE一句话描述为：sase = sdwan + safe.

What Is SASE

最近拜读了一下道哥的《白帽子讲Web安全》，主要是想开阔学习一下，堪称互联网最大入口的Web服务中的安全知识。无论黑客是从客户端，还是服务端发起的漏洞攻击，都能从中见识到这些黑客的顶级智慧和脑洞，他们有着深厚的网络和操作系统知识，开发出各种脚本和工具，有的大师甚至开源出来，用以警醒我们漏洞危害之大。书中介绍了很多详细的漏洞种类和防御手段，尤其是最后，道哥结合10多年阿里云安全的开发运营经验，倾囊相授了一番SDL安全开发流程和SOC安全运营的checklist，这部分是非常宝贵的，即使是10年前的经验，到今天依然没有过时，很多厂商，甚至是安全厂商都没有完全做到这些。

【笔记】结合CTF理解Web安全

最近在某客上学习了一下郭东白老师的架构课，郭东白老师是原来阿里P10，是云计算和国际化电商平台领域的资深专家，他完整讲述了自身作为架构师该如何设计架构，以及对架构师的一些思考。整个囫囵吞枣般看完，好似虚竹一般，虽获得无崖子70年功力，但如何打出妙招，少侠我还多需努力。

【笔记】架构师思维养成之路

IPsec（Internet Protocol Security）是为IP网络提供安全性的协议和服务的集合，用于在不安全的网络上（一般是互联网），建立安全的网络通信，一个很常见的场景就是，我们可以通过IPsec隧道将分公司和总部的内网连接起来，使分支的员工安全的访问总部的资源，按照传统的做法，公司需要租用运营商的专线，专门拉一条网线将总部和分公司组网，虽然更安全，体验更好，但这个价格也灰常的恐怖。

【All In One】一文详解IPsec隧道

全面监控必不可少，因为设备和服务更容易受到网络攻击。在零信任架构中，随着设备，服务和用户行为的持续评估，我们的监控策略很可能发生改变。我们应该持续进行监控，并将用户流量通过安全传输（相互验证的TLS）定期导出到指定组件去分析，比如说用户访问的行为，是否是正常工作时间或正常工作地（发生异常很有可能是攻击者）。了解我们的服务，并了解用户与服务之间的交互也很重要，我们在监控中，观察设备，用户和服务正在执行哪些操作以及它们正在访问哪些数据，观察并验证它们是否按照你的预期执行。

【翻译】零信任架构准则(五)Don't trust any network

零信任架构的威力来自你定义的访问策略，用户的每个服务请求都应该根据策略进行授权，具体步骤如下：

【翻译】零信任架构准则(四)Authenticate and Authorise everywhere

在寻求建立系统安全性的信任值时，用户行为，服务或设备的健康状况是非常重要的指标，我们应该持续监控来自用户和设备的身份和健康信息，并把这些动态信息也输入到策略引擎中，让其动态的做出访问决策。例如，我们想知道我们的用户试图从哪里访问我们的服务，然后这些行为（用户访问时间或频次或关注点）或访问的位置信息都可以作为signal帮助策略引擎做出访问决策。

【翻译】零信任架构准则(三)Assess user behaviour

在零信任网络模型中，了解你的用户，设备，服务和数据比以往任何时候都更加重要。为了使零信任架构威力发挥到最大，你需要了解你的架构中的每一个组件。因此，正确了解你的资产是最关键的一步，我们可以采用自动化工具来做资产发现，也可以通过非技术程序（例如查询采购记录，人工盘点）来确定你的资产。第二步，了解你的业务设备的一些信息，包括它们的位置，存储了哪些数据，数据的敏感性是怎样的。资产发现可以帮助我们指定有效且适当的访问策略，这将有助于实现访问授权。

【翻译】零信任架构准则(二)Know your architecture

零信任架构是一种移除内网信任的一种系统设计方法，它假定访问网络的用户都是有敌意的，因此，每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现，而上下文又依赖于强大的身份验证，授权，设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构，或者你是零信任的初学者，那么我们的网络架构指南会是一个很好的阅读切入点。

【翻译】零信任架构准则(一)Introduction to Zero Trust

互联网应用保持快速发展，各类应用用户规模均呈上升趋势，其中网上外卖用户增长显著，年增长率达到 64.6%。应用使用率分布发生了较大的变化，流量识别模型需要不断更新。表 1-1 描述了 2016-2017 年中国网民各类互联网应用的使用率。

加密流量识别技术

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了网络安全随笔专栏，为你提供了网络安全随笔的相关文章，致力于帮助开发者快速成长与发展。

网络安全随笔

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐