在设计校园网络时,您将如何分配防火墙
我设计了一个有 2 个校区的大学网络。他们使用租用线路连接两个校区。互联网边缘有防火墙,每个 WAN 边缘都有防火墙。每个网络边缘都有冗余交换机,因此有冗余防火墙。有几个防火墙保护我们的敏感数据。最令人怀疑的是,每栋楼都有防火墙。
我认为这可能太过分了。在每个建筑物中安装防火墙是否重要,因为有人可以从建筑物内访问网络?
据我了解,每个建筑物中的防火墙不会阻止某人与同一建筑物中的另一台计算机混淆。但是它会阻止他们将虚假流量发送到我们的网络核心。
我认为在 Internet 边缘或我们的敏感数据上是否需要防火墙没有任何争论,但我是否需要在每个建筑物和 WAN 边缘安装防火墙?
不确定这是问这个问题的正确地方,但我会试一试。
我被要求实施一个关于犯罪数据的系统。数据是安全敏感的,因为它包含有关某些人在暴力环境和敏感国家犯下的罪行的信息。
实际上,该应用程序只有 4-5 个用户。也许以后再吃一把。尽管如此,它们是分布式的,因此应该可以通过网络进行访问。
他们目前运行 Windows 服务器。我在 linux 环境中经验丰富,我的 Windows 服务器已经过时了。
对于这样的应用程序,什么是好的设置?如果我将其安装在他们自己的场所(这似乎是他们的首选方法),我将如何向用户提供访问权限?VPN 是一种好方法吗?有关如何使用 Windows 执行此操作的任何相关信息?我可以在不必在 Internet 上托管应用程序的情况下执行此操作吗?其他建议?
不确定托管在 Internet 某处服务器上的标准 Web 应用程序是否足够。
如果问题太模糊,我深表歉意。如果可以,我很乐意尝试提供更多信息。我是一名经验丰富的开发人员,但不是系统工程师。
我们最近受到了黑客的攻击,我们需要能够阻止所有 IP 地址编辑文件,除了我们办公室的文件。我知道如何通过 .htaccess 文件来做到这一点,但是当涉及到服务器端的事情时,我不知所措。不幸的是,我们在 HostGator 使用服务器,他们不能告诉我太多。我不是一个服务器人,所以我什至不确定这是否是最好的路线。
任何有关该主题的指导或帮助将不胜感激。
谢谢!
在大多数用户都sudo可以访问其他用户 ID的 UNIX 环境中,如何保护我的密码列表(例如在不同的数据库中)?
我的脚本 ( main.sh) 中有以下内容$HOME:
$ cat main.sh
mysql --skip-column-names -hmysql_host -umy_user -pmy_password -ADmysql_db << EOF >> /home/my_user/mysql.log
select current_date;
EOF
当另一个用户 ( another_user) 尝试sudo su - my_user,他/她就能看到我的 MySQL 数据库密码。
即使我输入密码.bashrc并通过脚本中的某个变量访问它,他/她也将能够在.bashrc文件中看到我的密码。
如何保护我的 MySQL 密码免受该用户的侵害another_user?
我从我的合规性检查结果中得到了这个。
对我来说,我的路由器似乎正在响应他们的测试,但我不知道该去哪里。(虽然可能完全偏离轨道)
说明:PCI DSS 合规性:检测到不安全的通信
概要:检测到不安全的端口、协议或服务。
影响:未能使用强加密技术对网络流量进行充分加密的应用程序被盗用和暴露持卡人数据的风险会增加。如果攻击者能够利用弱加密过程,他/她可能能够控制应用程序,甚至获得对加密数据的明文访问。
接收到的数据:以下网页在未加密的通道上使用基本身份验证:
//领域=“网件DG834G”
解决方法:正确加密所有经过身份验证的敏感通信。
他们的建议是关闭万维网发布服务。但这似乎没有在我的服务中运行。
我在 PC 上尝试了 netstat,但端口 80 没有出现。我可以以某种方式在我的路由器上做同样的事情吗?
netstat -o
活动连接
Proto Local Address Foreign Address State PID
TCP 127.0.0.1:2869 cmc2-PC:50485 TIME_WAIT 0
TCP 127.0.0.1:7112 cmc2-PC:57979 ESTABLISHED 15912
TCP 127.0.0.1:19872 cmc2-PC:49406 ESTABLISHED 4396
TCP 127.0.0.1:49406 cmc2-PC:19872 ESTABLISHED 4396
TCP 127.0.0.1:54982 cmc2-PC:54983 ESTABLISHED 25348
TCP 127.0.0.1:54983 cmc2-PC:54982 ESTABLISHED 25348
TCP 127.0.0.1:55704 cmc2-PC:55705 ESTABLISHED 17888
TCP 127.0.0.1:55705 cmc2-PC:55704 ESTABLISHED 17888
TCP 127.0.0.1:57979 cmc2-PC:7112 ESTABLISHED 24120
TCP 192.168.1.5:49757 wi-in-f189:https ESTABLISHED 6876
TCP 192.168.1.5:49758 wi-in-f189:https …有没有办法在“旅程”期间跟踪电子邮件?
我的一个朋友认为,他参与的体育俱乐部和他有电子邮件地址的人正在阅读所有工作人员的电子邮件。由于他们自己托管服务器,因此存在技术可能性。然而是非法的,因为他们没有签署动摇。(反正主题不同)
是否可以使用任何方法来跟踪/检查某人在到达目的地之前是否正在阅读电子邮件?
我正在考虑发送一封加载外部图像的电子邮件,然后我可以跟踪它的加载位置。但这仅在有限的情况下有效 - 有更好的想法吗?
我最近获得了一个运行 esxi 5.5 的 poweredge,并且正在创建一个用于渗透测试的网络。目前我的主网络和渗透测试网络是完全独立的实体,没有任何联系。主网运行在 192.168.1.0/24,pentest 网络将被分配到 10.0.0.0/27。
我想将 pentest 网络(阅读:易受攻击)连接到互联网以进行外部测试,但这需要与主网络共享一个路由器。
我怎样才能隔离这两个,以便都可以接收互联网,但 192.168.xx 和 10.xxx 之间不可能通话?该网络将中度到非常脆弱,并且很容易成为目标。我想尽一切努力最大程度地减少对真实网络的影响。
更新:因此,目前 Pentest 网络是一个连接到 linksys soho 路由器的单个 ESXi 和 2 台笔记本电脑。没有 VLAN,没有幻想。只是插入 soho 路由器的 poweredge。虽然升级路由器的计划最终会发生,但我现在并不关心。这个网络没有连接到其他任何东西。
主网络是一个ddwrt soho路由器,连接2个工作站、一个媒体服务器和一个未知数量(平均5个)无线设备,并连接到互联网。带有 NAT 的基本 192.168.1.0/24 家庭网络。
更多的路由器、防火墙、IDS,任何东西都可以购买/虚拟化,因为安全、预算和时间的必要性现在都不是问题,但到目前为止它是标准设置。
我有一个带有 2012 服务器的 vmware。最近在他的 vsphere 中看到了很多尝试。闻起来像蛮力。我了解 ESXi 6.0 中存在 Security.AccountUnlockTime 具有锁定期(120 秒)
但这似乎不足以消除蛮力。我该如何补救?
我正在设置一个需要通过 SSH2 建立安全连接的服务器应用程序,例如客户端必须打开到服务器的 SSH2 连接才能访问特定应用程序:
% ssh -s -p5000 my.server.com app
我想了解,此命令完成后究竟发生了什么?客户端/服务器如何知道它们必须通过 SSH 安全通道运行?这是否称为 ssh 隧道,或者它有不同的名称?
谢谢。
我只是想知道是否可以像强制门户一样使用 WPA2-Enterprise 进行身份验证?如果可能的话,我认为这会非常酷,尽管设置需要时间。