同樣是網路,昨天是基礎篇,今天進階篇~
其實,我自己網路沒有很熟XD
而且我都是從攻擊者角度去看,今天這邊我自己的想像是從藍隊角度去看較多,
先前面試也是遇到許多奇奇怪怪der問題,你的Server要怎麼防禦之類的,
當下只是覺得,問題怎麼聽起來有點模糊QQ
照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252
VLAN是一種可以將實體的網路設備進行邏輯上的區域網路分區的技術。使用VLAN有兩個原因,網路的效能與安全,可以利用VLAN來限制廣播網域,提升效能,也避免封包傳送到不必要的網段。
假設Switch的兩個Port利用一條網路線對接,當發出了廣播封包時,這個封包從其中一個Port傳到另一個Port,收到封包的Port又會再傳廣播封包出去,形成一個內部迴圈,會導致Switch無法正常運作。有支援STP機制的Switch都可以預防loop。
SDN是軟體定義網路,簡單來說就是把虛擬化的概念帶進了網路,與傳統網路直接連到每個網路設備中管理不同,SDN架構設計理念是中央控制,管理員可以利用中央控制方式去管理或是重新規劃網路。
VPN是虛擬專用網路,是一種利用Tunneling來封裝加密流量的技術,例如一般使用者可以利用VPN來隱匿自身IP,企業用戶則可以利用VPN技術讓遠端的員工於網際網路中,也可以連線到公司內部網路中。窩不知道怎麼設計QQ,可能要先說說這個VPN用途是要幹嘛der
防火牆的HA有3種工作模式,分別為Active-Passive(A/P、AS)(Active Standby)模式、Active-Active(A/A)模式和Peer模式。聽說A/P模式下,若主要的FW掛了,會需要短暫的時間進行切換(網路聽說數分鐘,但又聽我朋友說幾秒鐘就可以XD);A/A模式下,要進行Debug或是安全事件追查,比較麻煩。
LB是負載平衝,利用一個Load balancer server做reverse proxy,將流量分配給後端的伺服器,目的是達到流量的分流。網站如果有身分認證的機制,在規劃時要注意Session共享的機制。
參考一些國際標準、框架、或是Cheat Sheet,來達成安全防禦的設計與規劃,盡可能達到全面性的防護,避免有所遺漏。不管是政策面還是技術面都要顧及,可以參考像是ISO 27001、SANS網路防禦、NIST安全框架、CDN框架等等。
國際知名大廠的雲端硬碟,利用企業用帳號限制存取控制,只有公司內部的帳號可以存取。
不能用HUB(雖然現在應該沒有HUB惹)。MAC綁IP,不要允許有未授權的MAC出現。
要,可以觀察每日流量變化,如果有異常流量可以稍微注意是不是有出甚麼事情。網路設備應該都會有流量紀錄吧。
有玩過開源工具Snort,可以自行寫Pattern找出封包中可能的網路攻擊或是異常行為。
關於IPS/IDS/WAF或是其他資安設備與產品等等,如果有機會,之後會挑一天寫~
若有要補充也都歡迎留言
如果你今天是公司負責安全的人員,你會怎麼去做好內部的安全防禦?
現在可能要說「參考零安全架構Zero Trust」了?^^
Zero Trust正夯! 新趨勢
當紅炸子雞