作者查詢 / wst2080
作者 wst2080 在 PTT [ NetSecurity ] 看板的留言(推文), 共101則
限定看板:NetSecurity
看板排序:
全部Network7629Broad_Band5568hardware3290License500Linux335Railway184RIPE_gender165NetSecurity101Pisces92feminine_sex75I-Lan68Tech_Job34Gossiping23marvel19Capricornus17Disabled15Printer_scan15Wanted14MIS13sex12MobileComm9CD-R8Windows8Electronics7kochikame7Notebook6AntiVirus5Boy-Girl4CSMU-HSA964EarthQuake263EarthQuake433MotorClub3NCUIM953Nethood3NKFUST-CCE903NTU3bi-sexual2Bluetooth2FacebookBM2Fix-Network2FTP2Militarylife2OverClocking2rabbit2rent-exp2SCUG2TaiwanDrama2ask1ccsh_86_3251digitalk1Facebook1FCU_EE97A1GIEE_981HCHS603091Hualien1MRT1N_E_Coastal1Nurse1PC_Shopping1Storage_Zone1Sub_CS1TaiwanJobs1Violation1<< 收起看板(63)
8F→:這架構算小了 那我自己家裡的架構不就更誇張了???04/02 15:02
9F→:http://www.flickr.com/photos/44220930@N02/5570792148/04/02 15:03
10F→:這個只是我家網路的概略圖而已04/02 15:04
11F→:這樣是可行的 不過注意的就是PC-C的閘道不要設定04/02 15:05
12F→:PS:我是說原po的架構這樣是可行的04/02 15:05
13F→:PC-C的閘道不要設定的話 至少IP封包就不會丟往其他地方04/02 15:06
14F→:而封包只會在LAN當中裡面傳輸而已04/02 15:06
15F→:至於meletor的說法 我也算是認同 畢竟可以先檔案從C複製到04/02 15:08
16F→:A or B 當中,然後藉由A/B來進行傳輸到遠端的部份。04/02 15:08
17F→:不過原po的作法,也算是一種比較特異的安全性就是了04/02 15:09
18F→:至少 C 不會直接對外傳輸,只允許A/B來傳輸。04/02 15:10
19F→:剩下的只要針對A/B這兩台允許存取的機器 加強安全性就是了04/02 15:10
5F→:不用電腦最安全 XDD04/02 15:13
3F→:用VM的虛擬環境來測試比較好02/20 15:37
1F→:你用防火牆比較實際01/25 21:29
1F→:其實一般來說 你可以設置一些安全與稽核機制02/09 20:40
2F→:已加強資訊安全的範疇02/09 20:40
3F→:像我之前的公司就設置HIPS 並且在咽喉點建置log server02/09 20:40
4F→:專門蒐集與彙總每台上網的流量、封包、行為...等02/09 20:41
5F→:加以分析用戶端的連線狀態 並且呈現出報表於每周稽核02/09 20:41
6F→:依據事件的等級 來進行相關遊戲規則的建置02/09 20:42
7F→:而至於開放原始碼的優點 我想不必爭論 對岸也是自己發展02/09 20:42
8F→:也不靠微軟的系統~ 他們有自己的能力 而台灣呢???02/09 20:43
12F→:架構要設計DMZ跟Reverse Proxy當作Web的前端01/19 22:55
13F→:這樣後端不管是跑 IIS 或者 Apache 都OK了01/19 22:56
14F→:http://0rz.tw/MQFXO 這是我的實作 當然只是稍微隨手寫01/19 22:57
15F→:http://0rz.tw/M2lGo 之前隨手畫的架構圖01/19 22:58
22F→:一般來說 Reverse Proxy 可以阻斷不少的攻擊02/09 20:43
23F→:事實上跟OS的平台或者NAT無關 有關的是你的服務建置架構02/09 20:44
24F→:而我那篇文章並不是強調NAT的功能 而是講求Reverse Proxy02/09 20:44
25F→:只是順道提了一下NAT的部分而已~~~02/09 20:45
26F→:Reverse Proxy是可以提供外部與內部web之間的橋樑02/09 20:45
27F→:而web server不提供外部 而是透過Reverse Proxy來提供02/09 20:45
28F→:就算被攻擊 也只是Reverse Proxy垮台 並不影響Web Service02/09 20:46
29F→:而可以在Reverse Proxy當中下達ACL以及Filter部分02/09 20:46
30F→:像IIS的就可以透過Reverse Proxy中的設定 阻擋code red02/09 20:47
31F→:當外部使用者要求Reverse Proxy下達Code Red的字串02/09 20:48
32F→:而Reverse Proxy可以從中阻斷這些有害的字串02/09 20:48
33F→:如此在內部多台的web server當中~ 只要在Reverse Proxy02/09 20:48
34F→:當中設定就好 不用在整個Web Server Group來一台台設定02/09 20:49
38F→:不是觀念的問題 而是簡單來說 架構上的問題而已02/11 09:05
39F→:網頁程式當然有舉足親重的部分 這點不可否認02/11 09:06
40F→:應該可以發現架構以及Reverse Proxy可以增強原有的安全性02/11 09:07
41F→:若你設定三層DMZ~ 這樣的架構下 會安全不少就是了02/11 09:07
42F→:當然網頁程式碼是很重要的 只不過系統安全這部分02/11 09:07
43F→:或者是service套件的安全性上頭 在於架構上防護會比較簡單02/11 09:08
44F→:除非你有能力重新編譯與撰寫整個IIS 那麼IIS的安全性02/11 09:08
45F→:應該就會加強不少了... 只可惜若真的會這樣做的人 不多02/11 09:08
46F→:真的這麼強 應該就可以去微軟工作了說 呵呵02/11 09:08
47F→:我的觀念是針對服務這個部分 當然有鎖就有門 無庸置疑的02/11 09:09
48F→:若有門不鎖 那就別講安全性了02/11 09:12
49F→:這樣講好了 你網頁程式碼再怎麼安全 而服務這部分不安全02/11 09:13
50F→:也是沒用的~~~ 而服務安全 架構不安全 也是沒用的02/11 09:13
51F→:畢竟系統是一個基礎 作業系統的安全性也很重要的02/11 09:14
52F→:我想我們都偏離主題太多了 呵呵 安全這個議題很大就是了02/11 09:14
53F→:安全的議題 可以從 點 、 線 、 面 一直延展探討的部分02/11 09:14
54F→:我覺得觀念錯誤與否 不要直接批評 而是要廣泛討論就是了02/11 09:15
57F→:我就沒被搞死啊~~~ PS: 我就是網管 XDDD02/15 19:04
58F→:我只是舉例IIS的案例而已 那只是冰山一角就是了02/15 19:05
59F→:就好比機房門禁 沒做好 一樣也會被弄02/15 19:05
60F→:所謂的最強的駭客 其實強項在於 社交工程02/15 19:05
61F→:而不是所謂的這些技術層面的部分02/15 19:07
62F→:記得一句話 No system is safe....02/15 19:08
2F→:cports 先去看看系統那些process 再來判斷12/15 07:42
3F→:不要光只是掃毒 要去了解系統的特性 跟 異常 的程序12/15 07:43
2F→:通常這樣 是中毒的跡象12/15 07:36
4F→:可用一些外掛來加強MSN的加密機制 或者 改用LCS12/15 07:39
5F→:若真的怕 那就改用Sametime 只不過你得自己把環境建置起來12/15 07:39
1F→:由於你都是同一台電腦來進行存取 這樣也沒有比較安全12/15 07:36
2F→:若真的怕的話,就建議使用Proxy的方法...在自己內網建置12/15 07:37
3F→:內部的電腦都透過那台Proxy來對外存取12/15 07:37
4F→:而這樣很多服務都會無法連線出去 當然問題就會減少很多12/15 07:37
5F→:再來Proxy搭配NAT的機制(用戶端都不要設定GW)12/15 07:38
6F→:這樣安全性會提高很多 但是所能連線到外服務限制也會很多12/15 07:38