端口隔离

思科SG300系列三层交换机是针对中小企业设计的一款产品，Marvell 主控和128M Ram,最大支持52个千兆RJ45端口和2个SFP端口，因公司业务需求，最近也进行了解和配置，具体型号为 SG300 – 52 记录下过程，便于参考. 网络拓扑图如下所示： 计划目标：针对不同部门划分不同的VLAN，前期满足能够同时上网的需求，后期需要能够隔离不同部门的资源访问(本次配置操作不涉及)。 因之前未接触CISCO交换机，在参考了网上众多配置后，发现该交换机部分命令和服务并不支持，比如DHCP Server 。所以配置过程以Console 为主，Web界面为辅的方式进行。 配置过程： 1.更改交换机工作模式 交换机自身带有Web界面，英文版，不熟悉的可以通过官方下载固件版本对应的中文语言包进行切换，默认IP地址 192.168.1.254 用户名密码均为cisco 首次登陆后需要修改密码，在管理中将工作模式更改为三层模式，然后重启。 2.为交换机划分VLAN 交换机默认所有端口均属于VLAN1，分别建立 vlan 10 , vlan 20 , vlan 30 。在WEB界面中可以直接配置，但实际操作却发现点击确定提交后，网络会断开，最后还是得以Console 串口线配置。命令如下: # conf t //进入配置模式 # vlan 10 # vlan 20 # vlan 30 /

1 、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示 flash 中配置文件，即下次上电启动时所用 的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2 、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置 VLAN 的 IP 地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由＝网关 3 、 telnet 配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set

Kippo是一个中等交互的SSH蜜罐，提供了一个可供攻击者操作的shell，攻击者可以通过SSH登录蜜罐，并做一些常见的命令操作。 当攻击者拿下一台服务器的权限后，很可能会进行小范围的端口探测或者批量的端口扫描，以便横向扩展，获取更多服务器的控制权，因此部署内网SSH蜜罐，把攻击者引诱到蜜罐里来，触发实时告警，即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。 如何把攻击者引诱到蜜罐里来，除了要看蜜罐是否具备主动欺骗能力外，还要看蜜罐在公司网络中的部署密度。网络安全域通常会要求不同的网段是隔离的，而且攻击者很可能是先在同一网段进行扫描，不会上来就扫描全网。所以如果只有一台蜜罐服务器，攻击者的扫描行为很可能不会触碰到蜜罐，也就不会触发蜜罐告警，所以理想情况是在所有网段均部署诱捕节点，但如果都用服务器部署的话，又太浪费资源，所以我们通过端口转发的方式，利用虚拟机、虚拟vlan网卡、现有服务器等方式来充当诱捕节点。 一、蜜罐架构图 二、蜜罐的搭建 1、Kippo 1.1 Kippo的安装 GitHub地址：https://github.com/desaster/kippo 安装环境：centos7 为确保蜜罐服务器的安全，建议在windows服务器上安装vmware，然后安装centos。 下载代码、安装相关的依赖 复制代码 1 git

网络七层模型 https://blog.csdn.net/a369189453/article/details/81193661 网络七层协议的通俗理解 https://www.cnblogs.com/evan51/p/7994109.html TCP/IP协议（一）网络基础知识 网络七层协议 https://www.cnblogs.com/mike-mei/p/8548238.html 最近又看到这个七层模型了，一直都记不住这个七层模型，就算背住了也很快忘记。主要原因还是因为没有真实的使用场景，也没能理解其中的原理。但是这个东西是计算机网络的基础，既然碰巧看到就顺便整理一下吧。很多知识的梳理都是通过文章来理解贯通的，所以在计算机开发中对于技术的应用对敲代码；对于抽象的知识多写文章，自然而然的就懂了。 关于七层模型的介绍 七层模型，也称为OSI（Open System Interconnection）参考模型，是国际标准化组织（ISO）制定的一个用于计算机或通讯系统间互联的标准体系。它是一个七层的、抽象的模型体，不仅包括一系列抽象的术语或概念，也包括具体的协议。 ISO 就是 Internationalization Standard Organization（国际标准组织）。 起源 看一下OSI的起源和出现过程还是挺有意思的。 OSI的大部分设计工作实际上只是Honeywell

1.1.2.1 Linux系统-防火墙策略管理 文章目录 1.1.2.1 Linux系统-防火墙策略管理 一、防火墙策略介绍 二、firewall防火墙 三、iptables防火墙 一、防火墙策略介绍 作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间 分类：硬件防火墙 软件防火墙 程序：RHEL6以下iptables命令，RHEL7以上firewalld命令 firewalld底层是调用包过滤防火墙iptables 包过滤防火墙:工作在3层,对ip包进行过滤处理 二、firewall防火墙 （一）firewall防火墙介绍 1.firewall防火墙安装 yum install firewalld #安装服务 systemctl start firewalld #开启服务 systemctl enable firewalld #开机自启 systemctl status firewalld #查看状态 firewall-cmd命令操作 firewall-config图形化操作 2.防火墙预设安全区域 规则：根据所在的网络场地区分,预设保护规则集,匹配即停止 public #仅允许访问本机sshd dhcp ping trusted #允许任何访问 block #阻塞任何来访请求,明确居拒绝,给客户端回应 drop #丢弃任何来访的数据包,直接丢弃

一、IPv4协议和NAT的由来 1、IPv4协议介绍 　　2011年2月3日，IANA宣布：IPv4地址空间最后5个地址块已经被分配给下属的5个地区委员会。2011年4月15日，亚太区委员会APNIC对外宣布，除了个别保留地址外，本区域所有的IPv4地址基本耗尽。一时之间，IPv4地址作为一种濒危资源身价陡增。 　　 IPv4 即 网际网协议第4版 （Internet Protocol Version 4）定义一个跨越异种网络互连的超级网，为每个网际网的节点分配全球唯一IP地址。IPv4使用 32bits整数 表达一个地址，地址最大范围就是232约为 43亿 。以IP创始时期可被联网的设备来看，这样的一个空间已经很大，很难被短时间用完。然而，事实远远超出人们的设想，计算机网络在此后的几十年里迅速壮大，网络终端数量呈爆炸性增长。 　　更糟糕的是，为了路由和管理方便，43亿的地址空间按 不同前缀长度 划分为 A,B,C,D,E类 地址网络和保留地址。 　　 　　地址分类如下所示（默认情况下通过 第一个8位 辨别类别）： 　　　　A 0 0000000--- 0 1111111 0-127 　　　　B 10 000000--- 10 111111 128-191 　　　　C 110 00000--- 110 11111 192-223 　　　　D 1110 0000--- 1110

应用和硬件的关系 我们作为程序员一般很少直接操控硬件，我们一般通过 C、Java 等高级语言编写的程序起到间接控制硬件的作用。所以大家很少直接接触到硬件的指令，硬件的控制是由 Windows 操作系统 全权负责的。 你一定猜到我要说什么了，没错，我会说但是，任何事情没有绝对性，环境的不同会造成结果的偏差。虽然程序员没法直接控制硬件，并且 Windows 屏蔽了控制硬件的细节，但是 Windows 却为你开放了 系统调用 功能来实现对硬件的控制。在 Windows 中，系统调用称为 API ，API 就是应用调用的函数，这些函数的实体被存放在 DLL 文件中。 下面我们来看一个通过系统调用来间接控制硬件的实例 假如要在窗口中显示字符串，就可以使用 Windows API 中的 TextOut 函数。TextOut 函数的语法（C 语言）如下 BOOL TextOut{ HDC hdc, // 设备描述表的句柄 int nXStart, // 显示字符串的 x 坐标 int nYStart, // 显示字符串的 y 坐标 LPCTSTR lpString, // 指向字符串的指针 int cbString // 字符串的文字数 } 那么，在处理 TextOut 函数的内容时，Windows 做了些什么呢？从结果来看，Windows 直接控制了作为硬件的显示器。但 Windows

映射容器端口到宿主主机的实现 默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。 容器访问外部实现 容器所有到外部网络的连接，源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。 查看主机的 NAT 规则。 $ sudo iptables -t nat -nL ... Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 ... 其中，上述规则将所有源地址在 172.17.0.0/16 网段，目标地址为其他网段（外部网络）的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。 外部访问容器实现 容器允许外部访问，可以在 docker run 时候通过 -p 或 -P 参数来启用。 不管用那种办法，其实也是在本地的 iptable 的 nat 表中添加相应的规则。 使用 -P 时： $ iptables -t nat -nL ... Chain DOCKER (2 references) target prot opt source destination DNAT tcp -- 0.0.0.0

北京SEO ：互联网是人类历史上最伟大的发明创造之一，而构成互联网架构的核心在于TCP/IP协议。那么TCP/IP是如何工作的呢，我们先从数据包开始讲起。 1、数据包 一、HTTP请求和响应步骤 http请求全过程 请求 响应 以上完整表示了HTTP请求和响应的7个步骤，下面从TCP/IP协议模型的角度来理解HTTP请求和响应如何传递的。 2、TCP/IP概述 我们以RFC 1180中的图作为参考 上图展示了四层TCP/IP协议图，其中network applications是应用程序，属于应用层;TCP和UDP主要是传输数据，属于传输层，TCP确保端对端的可靠传输并尽量确保网络健康运行，而UDP是简单不可靠传输;IP主要解决路由问题，属于网络层;ARP是网络地址转换，主要用来转换IP地址和MAC地址，介于数据链路层和网络层之间，可以看成2.5层;ENET在这里是数据链路层，网卡驱动属于这一层，主要做具体的介质传输，前面示例中的广告请求抓包就是在数据链路层抓取。 值得注意的是，ARP在linux系统里属于网络层，而在RFC里是介于数据链路层和网络层之间。在《TCP/IP详解》一书里，ARP被放到了数据链路层。当解决实际问题的时候，我们应该把ARP放到网络层。 上图给出使用TCPCopy在不同层发包的使用方法。如果TCPCopy从数据链路层发包，由于没有享受到ARP服务

原文: http://dockerone.com/article/133 讲的非常清楚的一篇docker入门材料, 并且作者附带了详细的连接. Docker终极指南 【编者的话】Docker入门的好文章，之前在微博上就有很多人推荐，也是2015年的新文章，DockerOne作了翻译。本教程有三个目标：说明Docker解决的问题、说明它如何解决这个问题、以及说明它使用了哪些技术来解决这个问题，这不是一篇教你怎么运行安装Docker的教程。 Docker是一个相对较新且发展非常快速的项目，可用来创建非常轻量的“虚拟机”。注意这里的引号非常重要，Docker创建的并非真正的虚拟机，而更像是打了激素的chroot，嗯，是大量的激素。 在我们继续之前，我先说下，截至目前（2015年1月4日）为止， Docker只能在Linux上工作 ，暂不支持Windows或OSX（译者注：不直接支持）。我稍后会讲到Docker的架构，你会明白其中的原因。所以，如果想在非Linux平台上使用Docker，你需要在虚拟机里运行Linux。 本教程有三个目标：说明Docker解决的问题、说明它如何解决这个问题、以及说明它使用了哪些技术来解决这个问题。这不是一篇教你怎么运行安装Docker的教程， Docker 此类 教程 已经 有 很多 ，包括 Docker作者的在线互动教程 （译者注