-
防火牆的8種類型,看完就完全不用怕
通信弱电交流学习 當我們談到網路開放性帶來的安全挑戰時,都會想起駭客、病毒、惡意軟體等等。 而正是因為這些威脅,讓網路安全變成了網路世界裡的重要議題,如果說起怎麼保護網路安全,基本上我們都會第一時間想到防火牆。 畢竟防火牆是電腦網路安全的基本組件了。 網路威脅的複雜多樣,衍生出了不同類型的防火牆,而且每種都有獨特的功能、優點和應用場景。 今天就帶你一起探索一下,深入了解這8種類型的防火牆。 一、什麼是防火牆? 防火牆是一種監視網路流量並偵測潛在威脅的安全設備或程序,作為一道保護屏障,它只允許非威脅性流量進入,阻止危險流量進入。 防火牆是client-server模型中網路安全的基礎之一,但它們容易受到以下方面的攻擊: 社會工程攻擊(例如,有人竊取密碼並進行詐欺)。 內部威脅(例如,內部網路中的某人故意更改防火牆設定)。 人為錯誤(例如,員工忘記打開防火牆或忽略更新通知)。 二、防火牆是如何運作的? 企業在網路中設置內聯防火牆,作為外部來源和受保護系統之間的邊界。 管理員建立阻塞點,防火牆在阻塞點檢查所有進出網路的資料包,包含: 有效負載(實際內容)。 標頭(有關數據的信息,例如誰發送了數據,發給了誰)。 防火牆根據預設規則分析資料包,以區分良性和惡意流量。 這些規則集規定了防火牆如何檢查以下內容: 來源IP和目的IP 位址。 有效負載中的內容。 封包協定(例如,連線是否使用 TCP/IP 協定)。 應用協定(HTTP、Telnet、FTP、DNS、SSH 等)。 表明特定網路攻擊的資料模式。 防火牆阻止所有不符合規則的資料包,並將安全資料包路由到預期的接收者。 當防火牆阻止流量進入網路時,有兩種選擇: 默默地放棄請求。 向寄件者發送error訊息。 這兩種選擇都可以將危險流量排除在網路之外。 通常,安全團隊更喜歡默默放棄請求以限制訊息,以防潛在的駭客測試防火牆的漏洞。 三、基於部署方式的防火牆類型 根據部署方式,防火牆可以分為三種類型:軟體防火牆、硬體防火牆和基於雲端的防火牆。 01 軟體防火牆 軟體防火牆(或主機防火牆)直接安裝在主機設備上。 這種類型的防火牆只保護一台機器(網路終端、桌上型電腦、筆記型電腦、伺服器等),因此管理員必須在他們想要保護的每台設備上安裝一個版本的軟體。 由於管理員將軟體防火牆附加到特定設備上,因此這些防火牆不可避免地會佔用一些系統 RAM 和 CPU,這在某些情況下是一個問題。 軟體防火牆的優點: 為指定設備提供出色的保護。 將各個網路端點彼此隔離。 高精度的安全性,管理員可以完全控制允許的程式。 隨時可用。 軟體防火牆的缺點: 消耗設備的 CPU、RAM 和儲存空間。 需要為每個主機設備配置。 日常維護既困難又耗時。…
-
使用 Podman 建立和使用虛擬機
岱军 云云众生s Red Hat 的 Podman 不僅可以用來管理容器,而且對於建置和維護虛擬機器也很方便。 譯自Use Podman to Create and Work with Virtual Machines,作者 Jack Wallen。 當您想到Red Hat的 Podman 時,會想到一件事:容器。 這是因為Podman 被創建為用於建立和管理容器化應用程式和服務。 但是 Podman 還有另一個絕招。 在QEMU 模擬器的幫助下,Podman 能夠創建基本的 Fedora CoreOS 虛擬機,該虛擬機可用於容器、容器化工作負載或此類容器化應用程式的開發(只要它們在Fedora CoreOS領域內工作)。 對於不熟悉 Fedora CoreOS 的人來說,它是專門創建的,以優化運行容器化應用程式。 Fedora CoreOS 最初於 2003 年 11 月 6 日發布,此後一直在穩步增長。 顧名思義,Fedora CoreOS 在設計上保持在最低限度,因此它只包含您需要的內容。 Podman 讓部署 Fedora CoreOS 虛擬機器變得輕而易舉。 透過這樣做,您不必擔心從…
-
OTel 101:透過實踐Workshop建構可觀測性技能
原创 岱军 云云众生s 教授雲端原生開發者如何使用 OpenTelemetry 透過分散式追蹤探索他們的服務。 譯自OTel 101: Build Observability Skills with Hands-on Workshops,作者 Paige Cruz。 我們正處於向開放、可擴展和可觀測世界轉變的構造性變革之中。 隨著每個拉取請求,「一次檢測,隨處觀察」的夢想比以往任何時候都更加接近。 分散式追蹤尤其具有獨特優勢,可以幫助開發人員了解和理解他們正在建置和操作的雲端原生服務的複雜性:能夠跨分散式微服務環境追蹤事務具有難以置信的價值。 然而,自從分散式追蹤引入以來,許多追蹤計畫在十多年間都步履蹣跚,並且一直保持著作為超級工程師工具的聲譽。 在我看來,跟蹤本身並不是問題。 早期工具很複雜,因此追蹤的實用性集中在少數高級用戶上。 但是,由單一站點可靠性工程 (SRE) 團隊領導和執行的追蹤計劃將無法蓬勃發展。 為了讓團隊充分發揮追蹤數據的潛力,每個開發人員都必須能夠使用追蹤工具。 這意味著要學習從一開始如何發出資料到如何使用該資料的所有內容。 實踐研討會的價值 我嘗試了許多策略來幫助開發人員培養分析和利用追蹤以更好地理解系統行為和為決策提供基礎的技能。 最成功的計劃是實作研討會,例如我在芝加哥舉行的KubeCon North America 2023上關於OpenTelemetry(OTel) 和追蹤的研討會。 我的課程OpenTelemetry 101:讓我們插樁吧! 旨在讓開發人員踏出追蹤的第一步。 我渴望幫助盡可能多的開發人員踏上他們的追蹤之旅,因此本文分享了開發研討會的幕後花絮,包括: 我如何設計學習環境。 建立對可觀測性概念的共同理解的複雜性。 如何使用 OpenTelemetry 建立和傳送跨度。 練習解釋和分析追蹤數據的技能。 創建學習環境 該研討會專為追蹤新手設計,我希望參加者能夠掌握將追蹤應用到他們自己的專案所需的知識和技能。 實現這種獨立性意味著我只有幾個小時的時間來介紹基本的可觀測性概念;概述OpenTelemetry 及其各種子項目;為參與者提供大量機會來培養他們的檢測能力並思考在何處、 何時以及如何添加跨度;並在他們對跟踪中的詳細程度感到滿意之前幫助他們驗證結果數據。 一次引入所有這些內容,即使是最經驗豐富的開發人員也會不知所措,所以我將其分解為三個主要部分: 可觀測性概念 發送追蹤數據 使用追蹤數據 可觀測性概念:學習術語 許多人會在工作中非正式地學習可觀測性。 這可能導致誤解,例如將特定於供應商的產品名稱與可觀測性概念混淆。 這就是我每次可觀測性訓練課程都從術語和概念的快速水平設定開始的原因。…
-
新聞|思科發布《2024年資料隱私基準研究報告》
思科联天下 新聞摘要: ● 思科《2024年資料隱私基準研究報告》顯示,大多數企業因資料隱私和安全問題限制使用生成式人工智慧(GenAI)。 27% 的企業到目前為止,暫時禁止使用生成式人工智慧。 ● 48% 的企業承認在生成式人工智慧工具中輸入了非公開的公司資訊。 ● 91% 的企業意識到需要採取更多措施,向客戶保證他們的資料在人工智慧中僅用於有預期的合法目的。 ● 98% 的企業表示外部隱私認證是影響其購買決策的重要因素,而這項數據達到近年來的最高水準。 日前,思科發布了《2024年資料隱私基準研究報告》,該報告是企業關鍵隱私問題及其業務影響的年度全球調查。 研究結果體現了面對生成式人工智慧,人們對隱私與日俱增的擔憂,企業在使用人工智慧時所面臨的信任挑戰,以及隱私保護領域的誘人投資回報。 根據 12 個地區 2600 名隱私和安全專業人士的回饋,該基準研究報告顯示,隱私問題遠不止於合規性問題。 生成式人工智慧技術下企業對隱私的擔憂與日俱增 思科首席法務官 Dev Stahlkopf 表示: 「 生成式人工智慧對企業來說是一門完全不同的科技,它帶來了引人深思的新挑戰。90% 以上的受訪者認為人工智慧需要數據和風險管理的新技術,公司的治理 需要更加嚴密周到,維護客戶的信任取決於此。” 報告顯示,企業最關注的問題包括對企業的法律和智慧財產權的威脅(69%),以及向公眾或競爭對手洩露資訊的風險(68%)。 大多數企業都意識到了這些風險,並採取了限制措施:63% 的企業對可輸入資料的內容設定了限制,61% 的企業對員工可以使用的生成式人工智慧工具設定了限制,27% 的 企業表示暫時禁止使用生成式人工智慧應用。 儘管如此,許多用戶還是在生成式人工智慧中輸入了可能存在風險的訊息,包括員工資訊(45%)或公司的非公開資訊(48%)。 人工智慧和透明度進展緩慢 如今,消費者對使用涉及其數據的人工智慧感到擔憂。 91% 的企業意識到,他們需要採取更多措施向客戶保證,他們的資料在人工智慧中僅用於有預期的合法目的。 該數據與去年的水平相似,顯示企業在該維度上沒有取得太大進展。 在建立消費者信任方面,企業與個人的關注點各有重點。 消費者的優先順序是獲得明確的訊息,清楚地了解其數據如何被使用,以及數據是否會出於行銷目的而被出售。 企業方的優先順序是遵守隱私權保護法(25%)和避免資料外洩(23%)。 這表明,企業可更關注透明度的問題——尤其是在人工智慧應用方面,因為消費者可能很難理解演算法是如何做決策的。 隱私與信任:外部認證與法律的作用 企業意識到有必要讓客戶放心,了解他們的數據是如何被使用的。 思科副總裁兼首席隱私權長 Harvey Jang 表示: 「94% 的受訪者認為,如果他們不能充分保護數據,消費者就不會購買他們的產品。98%…
-
無線網路(WLAN)系統中無線AP頻道的劃分
通信弱电交流学习 什麼是WLAN? WLAN是Wireless Local Area Network的簡稱,指應用無線通訊技術將電腦設備互聯起來,構成可以互相通訊、實現資源共享的網路體系。 無線區域網路本質的特點是不再使用通訊電纜將電腦與網路連接起來,而是透過無線的方式連接,從而使網路的建置和終端的移動更加靈活。 它是相當便利的資料傳輸系統,它利用射頻( RF)的技術,使用電磁波,取代舊式礙手礙腳的雙絞銅線所構成的局域網絡,在空中進行通信連接,使得無線局域網路能利用簡單的存 取架構讓使用者透過它,達到「資訊隨身化、便利性走天下」的理想境界。 上面說了這麼多,可能不是很清楚,舉個最簡單的例子,我家用無線網絡,無線路由器就是提供WLAN的最基礎設備,比如公司的無線辦公網絡,酒店的無線網絡,公共場所提共的 無線網絡,都是屬於WLAN的範圍。 什麼是頻道? 頻道通俗來說就是頻率,它決定了無線AP是在哪個頻率範圍內進行通訊的。 考慮到相鄰的兩個無線AP之間有訊號重疊區域,為確保這部分區域所使用的訊號頻道不能互相覆蓋,具體地說訊號互相覆蓋的無線AP必須使用不同的頻道,否則很容易造成各個 無線AP之間的訊號相互產生幹擾,進而導致無線網路的整體效能下降 2.4G頻段的頻道劃分 2.4G 頻段的頻帶寬度有 83Mhz,被劃分為 13 個頻道,每個頻道頻寬 22Mhz,那就表示這些頻道必然有重疊的部分,以下是 2.4G 的頻道圖: 2.4G頻道圖 5.8G頻段頻道劃分 5.8G 頻段被劃分為13 個頻道,頻段不連續,36-64 頻道的頻帶範圍是5.150GHz-5.250GHz,149-165 頻道的頻帶範圍是5.725GHz-5.845GHz,頻道頻寬可調,可選擇20Mhz 或40Mhz,那就意味著這些頻道必然有重疊的部分,以下是5.8G 的頻道圖: 2.4G和5.8G頻段不重疊頻道 2.4G頻段不重疊頻道規劃方案 上述2.4G頻段的13個頻道中,選擇(1、6、11)、(3、8、13)或(1、5、9、13),可以看到這三組頻道每一組的三個 頻道是不重疊的,如下圖: 5.8G頻段不重疊頻道規劃方案 上述5.8G頻段中頻道頻寬可調,其中20MHz頻寬的頻道基本上沒有重疊,規劃優先考慮使用此頻道頻寬。 有沒有發現,我們監控常用的無線網橋也有這兩個頻段,在不同場所,選用不同的頻道是一個很關鍵的因素,比如,你網速達不到運營商給提供的速度,這可能就是 您沒有選好頻段和頻道引起的。 部署多少個無線AP及AP頻段選擇注意事項 對於面積小於150平方米的普通開放空間,如酒店公共休息區,小酒吧,咖啡廳,會議室,西餐廳等區域,預計用戶數量不超過30個時,每個場所放置一個無線AP即可滿足 需求。 如果是多阻隔且面積較大的環境,AP部署個數多了怕同頻段干擾導致訊號差不穩定,部署少了又怕覆蓋不全有訊號盲區,這時候可以選擇雙頻的AP產品來覆蓋。 無線AP的頻段分為2.4GHz和2.4GHz&5.8GHz,雙頻相較於單頻具備速度更快、幹擾更低的優勢,可以說更適用於現在和未來,當然雙頻的AP價格也更貴 。 正確選擇無線AP的安裝點 WiFi訊號的傳輸方式是以無線AP為中心,呈圓形向水平方向四周散射。 遇到牆壁等障礙物時可反射或改變方向。 單人房間安裝一個無線AP,盡量把無線AP放在大廳的中央位置,最好選擇放置於大廳的天花板上,若安裝兩個無線AP,可將其放置在大廳的兩個對角線上。 AP的無縫漫遊 AP的無縫漫遊功能在較大環境的組網中十分重要,舉例來說在一家商場A點連接無線上網,走到B點確是另一個無線AP在做覆蓋,這時候要重新輸入密碼連接 無線十分繁瑣,就牽涉到了無線AP的無縫漫遊問題。…
-
IT 运维服务规范
twt社区 一、 總則 本部分規定了 IT 維運服務支援系統的應用需求,包括 IT 維運服務模型與模式、 IT 維運服務管理系統、以及 IT 維運服務與管理能力評估與提升途徑。 二、 參考標準 下列文件中的條款透過本部分的引用而成為本部分的條款。 凡是注日期的引用文件,其隨後所有的修改單(不包括勘誤的內容)或修訂版均不適用於本部分,然而,根據本部分達成協議的各方研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件,其最新版本適用於本部分。 (1) ISO/IEC 20000-1:2005 資訊科技 — 服務管理-第 1 部分:規範 (2) ISO/IEC 20000-2:2005 資訊科技 — 服務管理-第 2 部分:實施指南 (3) ISO/IEC 27001:2005 資訊科技 安全技術 資訊安全管理系統要求 三、 術語、定義和縮寫 3.1. 術語和定義 3.1.1 IT 維運服務 IT 維運服務是指 IT 維運服務供應商或 IT 維運部門綜合利用各種 IT 維運支援工具提供的確保 IT…
-
如何成為平台工程師
原创 岱军 云云众生s 了解進軍平台工程所需的條件,這是當今最熱門的 IT 職業之一。 譯自How to Become a Platform Engineer,作者 Luca Galante。 隨著社群活動,例如PlatformCon在短短幾年內規模增長了兩倍,行業研究報告稱平台工程師的收入可以比DevOps 高出42.5%,更不用說不斷增長的行業認證了,難怪平台工程成為當今最 熱門的IT 職業之一。 問題是:成為平台工程師究竟意味著什麼,你要如何成為平台工程師? 什麼是平台工程師? 平台工程是設計和建構工具鏈和工作流程的學科,這些工具鍊和工作流程可在雲端原生時代為軟體工程組織提供自助服務功能。 平台工程師提供一個整合產品,通常稱為內部開發者平台 (IDP),涵蓋應用程式整個生命週期的營運需求。 平台工程師建構並運行 IDP 以提供黃金路徑並支援開發者自助服務。 IDP 由許多不同的技術和工具組成,這些技術和工具跨五個層面運作:開發者控制層面、整合和交付層面、監控和日誌記錄層面、安全層面和資源層面。 這些工具包括 Spotify 的Backstage、Argo CD 和 Humanitec 等平台編排器,這些工具以一種降低開發者認知負荷的方式粘合在一起,而不會抽象掉上下文和底層技術。 如何成為平台工程師? 無論你是在工程之旅的開始階段,還是一位高級DevOps 工程師或希望提升職業生涯的網站可靠性工程師(SRE),了解平台工程不僅僅是一次技術轉變至關重要——首先,它是一 種思維轉變。 在過去幾年中,我看到數十個平台團隊失敗。 為什麼? 通常是因為維運和基礎設施人員只是被重新標記為平台團隊,儘管他們有最好的意圖,但他們建立的內容實際上並沒有為開發者服務。 相反,他們建構的平台解決了他們的運維問題,而不是開發者的問題。 平台工程最重要的要素之一是轉向產品思維方式,並將你的平台視為產品。 平台工程師必須為他們的客戶(開發者)建構和維護產品。 無論產品是針對內部客戶(他們的開發者)還是外部客戶,使產品管理成功的原則與推動最佳平台團隊的原則相同。 平台工程師還必須了解雲端運算、基礎設施即程式碼、容器編排等的技術基礎和原理,並廣泛了解其公司的工具。 然而,將平台工程師與其他工程師區分開來的最重要因素是使用產品管理原則並遵循最佳實踐。 如果你想成為一名成功的平台工程師,請問以下問題: 你將如何進行使用者研究,以提供解決實際痛點的解決方案? 你如何定義開發者喜愛的黃金路徑,以幫助確保平台的高採用率? 你如何找到合適的抽象級別,既能降低開發者的認知負荷,又能保留所有情境? 你將如何向所有相關利害關係人推銷該平台? 你將如何組織利害關係人的支持,為你的平台工程計畫獲得資金? 你將從最小可行平台 (MVP)開始? 還是計劃一個非常大的計劃來涵蓋所有最終情況,即使可能需要數年時間才能建造?…