Cissp AIO说防火墙已经发展了5代,估计很多防火墙专业人士都不太明白是怎么回事。对专业人士来说,拿cissp证,首先要保证自己掌握的术语能和业界保持一致,否则就会范概念性错误 1st generation: packet filtering,包过滤防火墙 2st generation: application-level proxy,应用代理,这里特指用户空间的代理 3st generation: circuit-level proxy,电路级代理,这里特指socks代理,这个代理和上面那个代理的区别是 这个代理是和应用无关的,不需要了解应用细节,任何应用都可以用。早期有很多socks代理,比如sygate之类 的,现在很少看见了 4st generation: stateful,状
安全测试不 同于渗透测试,渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉 您,您的系统可能会来自哪个方面的威胁,正在遭受哪些威胁,以及您的系统已经可抵御什么样的威胁。当然,安全测试涵盖渗透测试的部分内容。安全测试与渗透 测试的区别主要在:渗 透测试考虑的是以黑客方法,从单点上找到利用途径,证明你有问题,帮助客户提高认识,也能解决急迫的一些问题,但无法也不能去针对系统做完备性的安全测 试,所以难以解决系统自身实质性的安全问题,所以提供渗透测试的厂商一般都是自己买什么防护设备,以自己防护设备针对
Droplet写过一些Network应用实现的模式,鉴于网络设备的复杂性,还有不少D还没有囊括进去,我这里补充一种累积下发模式:其实很简单,如果发送方有很多小的消息需要发送,延迟一会儿累积一些消息一并发送。这里一般有两个条件会触发发送: 1.在消息积累到一定数量的时候,超过Threshold的时候发送累积消息。 2.在消息没有达到threshold,但是经过一定超时时间的时候,也发送。这个模式很常用,其实熟悉TCP协议的人会想到Nagle算...
这几天因为要迁移服务器,所以把DNS相关的知识又看了一遍,有一些心得和大家分享一下: (图片来自微软网站) 1)关于根服务器 Root server负责域名体系的根“.”。Local dns server不能解析的域名,都会查询根服务器,得到次一级的服务器,比如.org.。然后org服务器会告诉resolver下一级的服务器在那里,比如.kernelchina.org.,最后是相应的web服务器的地址,比如...
RAID (redundant array of independent disks; 或者redundant array of inexpensive disks),顾名思义,通过多个独立硬盘提供存储的高可靠性。RAID可以用软件实现,也可以用硬件实现,但是应该对应用软件透明。RAID实现里面,有三个基本概念: 1)Striping (条带)简单说就是把数据分散到多块硬盘上,其实就是一个cluster。它可以扩展逻辑硬盘的容量,并且由于是并行读写的,所以速度很快。 2)Mirroring (镜像)简单说就是把数据镜像...
CISSP (Certified Information Systems Security Professional)是信息安全领域认可程度很高的一个认证。据说全球大概有6万左右持有CISSP证书的工程师。是CIO/CSO的入门证书。CISSP与厂商无关,所有不会考察某个具体产品的知识,而是倾向于概念性,通用的知识点。CISSP有十个知识领域(Common Body of Knowledge or CBK),如下: 1)Access Control 2)Telecommunications and Network Security 3)Information Security Governance and...
最近一段时间,关于密码的安全问题暴露了很多,先是各大安全公司公布的常见密码,后来又是CSDN的密码泄露事件。按道理说,密码是第一道安全防线,应该引起足够的重视,但在实践过程中,问题依然不少。首先是弱密码的问题。密码做为用户认证的一种方法(something you know),是最简单的,但也是最不安全的一种。密码的选择应人而异,选择密码首先要容易记,还有就是输入方便。其中最重要的就是容易记。这个和其他认证方式,比如som...
最近关于hash的攻击很火,这个问题存在的时间很久了。有几点想法,写出来和大家分享一下。 hash的好处是查找速度快,但是通过特殊的输入,会造成冲突链过长,查找会退化成一个链表遍历操作。对于hash来说,有几个重要的参数 1)hash table size,也就是hash的映射空间,很显然,hash表越大,映射的冲突几率就越小。 2)hash function,冲突取决于几个因素,一是输入源,二是hash function。好的hash function可以把非随机的输入源映...
以前写过一篇SSL Proxy的小的分析,在最近一次讨论中发现我还是了解的不够细致,这里描述的细致一些。首先是定义一下应用场景: SSL Client<--------------------------->SSL Server 首先是标准的SSL Client和Server进行通信。 SSL Client<-------------->MITM<------------->SSL Server 需求是:在其间加入中间人,劫持会话,生成两个SSL会话,从而可以获取明文数据,同时符合SSL标准,同时不用Client明确关注...
安全的三要素: Confidentiality:保密 Integrity:一致 Availibility:可用对于Confidentiality和Integrity,可用的手段很明确,就是加密和验证;但是对availibility,有什么好办法哪?能够想到的,rudundency(冗余),cluster(集群),resource limit(资源限制),等等。手段很多,但是有用的是哪个?可用性的目标也不好描述,什么样的系统是达到了它可用的目标?比如对系统的访问已经...
我们知道host或router等设备IPv4的地址配置中,一般提供”IPAddress/PrefixLen”或者”IPAddress network-mask 255.255.255.0”这类的地址配置方式。也就是说可以采用指定子网掩码长度或者明确写出子网前缀这两种方式配置地址。而到了IPv6之中,只能使用”IPv6Address/PrefixLen”这种方式。看官可能会觉得这个无所谓啊,两者是等价的,其实不然。如果提供指定掩码配置的方式我们可以配置出如下的”255.0.255.0”这样的不连续掩...
特意区分开这两个不同的概念,前者是大家常常提到的,例如如何命名之类的,估计现在的老师在课堂上也会教。后者是我自己乱起的,是工程中的体会。工程中同课堂不同的地方是,项目庞大,往往是几十几百万行的code,需要在给定的时间添加新功能或者更加紧迫的是解决客户问题。对于庞大的项目,想要理解系统架构,一个基本的技能要求是快速理解函数调用关系。我们常常使用cscope或者更高级的是source insight等等进行代码的索引,然...
cp -r 的功能无人不知,就是拷贝整个目录,但是最简单的命令命令最让人抓狂。如果目录之中有任何symlink文件,cp的结果是目的目录之中symlink被替换为实体文件。你的文件可能会被duplicate。这与多数人认为的两个目录拷贝之后完全相同的预测不同,如果因此产生问题会让你困惑一阵子。
预处理器的设计者最初为何设计这种违背直观的替换方案,我还是觉得奇怪。
