趣谈网络协议
刘超
网易研究院云计算技术部首席架构师
立即订阅
39609 人已学习
课程目录
已完结 51 讲
0/4登录后,你可以任选4讲全文学习。
开篇词 (1讲)
开篇词 | 想成为技术牛人?先搞定网络协议!
免费
第一模块 通信协议综述 (4讲)
第1讲 | 为什么要学习网络协议?
第2讲 | 网络分层的真实含义是什么?
第3讲 | ifconfig:最熟悉又陌生的命令行
第4讲 | DHCP与PXE:IP是怎么来的,又是怎么没的?
第二模块 底层网络知识详解:从二层到三层 (5讲)
第5讲 | 从物理层到MAC层:如何在宿舍里自己组网玩联机游戏?
第6讲 | 交换机与VLAN:办公室太复杂,我要回学校
第7讲 | ICMP与ping:投石问路的侦察兵
第8讲 | 世界这么大,我想出网关:欧洲十国游与玄奘西行
第9讲 | 路由协议:西出网关无故人,敢问路在何方
第二模块 底层网络知识详解:最重要的传输层 (4讲)
第10讲 | UDP协议:因性善而简单,难免碰到“城会玩”
第11讲 | TCP协议(上):因性恶而复杂,先恶后善反轻松
第12讲 | TCP协议(下):西行必定多妖孽,恒心智慧消磨难
第13讲 | 套接字Socket:Talk is cheap, show me the code
第二模块 底层网络知识详解:最常用的应用层 (4讲)
第14讲 | HTTP协议:看个新闻原来这么麻烦
第15讲 | HTTPS协议:点外卖的过程原来这么复杂
第16讲 | 流媒体协议:如何在直播里看到美女帅哥?
第17讲 | P2P协议:我下小电影,99%急死你
第二模块 底层网络知识详解:陌生的数据中心 (6讲)
第18讲 | DNS协议:网络世界的地址簿
第19讲 | HTTPDNS:网络世界的地址簿也会指错路
第20讲 | CDN:你去小卖部取过快递么?
第21讲 | 数据中心:我是开发商,自己拿地盖别墅
第22讲 | VPN:朝中有人好做官
第23讲 | 移动网络:去巴塞罗那,手机也上不了脸书
第三模块 热门技术中的应用:云计算中的网络 (5讲)
第24讲 | 云中网络:自己拿地成本高,购买公寓更灵活
第25讲 | 软件定义网络:共享基础设施的小区物业管理办法
第26讲 | 云中的网络安全:虽然不是土豪,也需要基本安全和保障
第27讲 | 云中的网络QoS:邻居疯狂下电影,我该怎么办?
第28讲 | 云中网络的隔离GRE、VXLAN:虽然住一个小区,也要保护隐私
第三模块 热门技术中的应用:容器技术中的网络 (3讲)
第29讲 | 容器网络:来去自由的日子,不买公寓去合租
第30讲 | 容器网络之Flannel:每人一亩三分地
第31讲 | 容器网络之Calico:为高效说出善意的谎言
第三模块 热门技术中的应用:微服务相关协议 (5讲)
第32讲 | RPC协议综述:远在天边,近在眼前
第33讲 | 基于XML的SOAP协议:不要说NBA,请说美国职业篮球联赛
第34讲 | 基于JSON的RESTful接口协议:我不关心过程,请给我结果
第35讲 | 二进制类RPC协议:还是叫NBA吧,总说全称多费劲
第36讲 | 跨语言类RPC协议:交流之前,双方先来个专业术语表
第四模块 网络协议知识串讲 (4讲)
第37讲 | 知识串讲:用双十一的故事串起碎片的网络协议(上)
第38讲 | 知识串讲:用双十一的故事串起碎片的网络协议(中)
第39讲 | 知识串讲:用双十一的故事串起碎片的网络协议(下)
第40讲 | 搭建一个网络实验环境:授人以鱼不如授人以渔
答疑与加餐 (9讲)
协议专栏特别福利 | 答疑解惑第一期
协议专栏特别福利 | 答疑解惑第二期
协议专栏特别福利 | 答疑解惑第三期
协议专栏特别福利 | 答疑解惑第四期
协议专栏特别福利 | 答疑解惑第五期
加餐1 | 测一测:这些网络协议你都掌握了吗?
加餐2 | 创作故事:我是如何创作“趣谈网络协议”专栏的?
加餐3 | “趣谈网络协议”专栏食用指南
第2季回归 | 这次我们来“趣谈Linux操作系统”
结束语 (1讲)
结束语 | 放弃完美主义,执行力就是限时限量认真完成
趣谈网络协议
登录|注册

第26讲 | 云中的网络安全:虽然不是土豪,也需要基本安全和保障

刘超 2018-07-16
在今天的内容开始之前,我先卖个关子。文章结尾,我会放一个超级彩蛋,所以,今天的内容你一定要看到最后哦!
上一节我们看到,做一个小区物业维护一个大家共享的环境,还是挺不容易的。如果都是自觉遵守规则的住户那还好,如果遇上不自觉的住户就会很麻烦。
就像公有云的环境,其实没有你想的那么纯净,各怀鬼胎的黑客到处都是。扫描你的端口呀,探测一下你启动的什么应用啊,看一看是否有各种漏洞啊。这就像小偷潜入小区后,这儿看看,那儿瞧瞧,窗户有没有关严了啊,窗帘有没有拉上啊,主人睡了没,是不是时机潜入室内啊,等等。
假如你创建了一台虚拟机,里面明明跑了一个电商应用,这是你非常重要的一个应用,你会把它进行安全加固。这台虚拟机的操作系统里,不小心安装了另外一个后台应用,监听着一个端口,而你的警觉性没有这么高。
虚拟机的这个端口是对着公网开放的,碰巧这个后台应用本身是有漏洞的,黑客就可以扫描到这个端口,然后通过这个后台应用的端口侵入你的机器,将你加固好的电商网站黑掉。这就像你买了一个五星级的防盗门,卡车都撞不开,但是厕所窗户的门把手是坏的,小偷从厕所里面就进来了。
所以对于公有云上的虚拟机,我的建议是仅仅开放需要的端口,而将其他的端口一概关闭。这个时候,你只要通过安全措施守护好这个唯一的入口就可以了。采用的方式常常是用 ACL(Access Control List,访问控制列表)来控制 IP 和端口。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《趣谈网络协议》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(26)

  • rtoday
    关于网络安全
    不知道课程结束后
    可否拨冗谈一下
    1.什么是网络长城?
    2.早期的科学上网是怎么翻墙的?
    3.是否可以开一堂课谈谈被常见的网络攻击后,该怎么灾难修复
    4.平常运维的入侵防御系统IPS,入侵侦测系统IDS,是怎么操作的,以及背后原理
    5.历史上有没有哪一些着名的网络灾难,刚好您经历过。背后发作原因,以及当时您的解决之道

    因为我还满好奇的,比如莫名奇妙变成跳板,去攻击美国官方机构,要怎么防范以及他是怎么办到的
    2018-07-18
    18
  • 固态U盘
    多年都没具体弄清楚iptables,这一篇文章解惑了,多谢刘老师。
    2018-07-16
    11
  • 小宇宙
    k8s的kube-proxy 就是利用的iptables 做流量转发和负载均衡的,service 利用nat 将相应的流量转发到对应的pod中,另外iptables 有一个probability特性,可以设置probability的百分比是多少,从而实现负载均衡

    作者回复: 对的

    2018-08-24
    10
  • 大树
    老师好,直播错过了,有没有回看呢?
    2018-07-17
    8
  • timgise
    期待
    2018-07-16
    4
  • James
    看完后对iptables 配置特别理解…明白为啥这么配置……而不是复制改端口配置……
    2018-08-01
    3
  • Garry
    对表和链比较迷糊的同学,结合这个博客的内容看起来可能更容易理解,http://www.zsythink.net/archives/1199

    作者回复: 赞

    2019-04-06
    2
  • balancer
    老师,后面能不能加点对网络的检测,排查案例,课程就完整了
    2018-07-27
    2
  • 勤劳的小胖子-libo
    这章总结太给力了,很喜欢💕

    里面的机房网ip就是物理网ip地址吧?
    2018-07-16
    2
  • stany
    刘老师好,我也是网易的同学,关于表和链的那张图,我在别的资料上,看到在 output 部分和 forward 部分之后汇聚的链路上,还有一个路由策论 routing decision 的?但是这里不能传图,传不上来给你看。
    2018-07-16
    2
  • 魏峰
    提纲挈领,把以前学的东西都融汇贯通了。如果想要把这些知识往深里面学学,看看有啥好的建议没
    2018-07-16
    2
  • 炎发灼眼
    老师,有个问题实在是没理解,文中这句话:
    可以多加一个网桥,在这个网桥上配置 iptables 规则,将在用户在界面上配置的规则,放到这个网桥上。然后在每台机器上跑一个 Agent,将用户配置的安全组变成 iptables 规则,配置在这个网桥上。
    如果照上面那个图来看的话,是多加的这个网桥是br1?把规则都放在这个网桥上?那每个机器都跑一个Agent是物理机跑的还是每个虚拟机跑的?变成iptables规则后,配置在这个网桥上,指的是br0?那这些规则是怎么下发到虚拟机上的,还是说就不下发虚拟机了,在br0上就已经做了安全过滤,每个虚拟机上是没有iptables规则的?
    2019-12-11
  • 饭粒
    这篇解惑颇多,开心。
    2019-12-05
  • 冷萃浮乐朵
    将安全组规则批量下发的那张图上,规则是配置在br0还是br1呢?
    2019-10-08
  • ALAN
    老师,mac地址一样的,ip地址怎么还会不一样了?因为mac地址是唯一的,所以应该不会存在mac地址相同的多个ip地址把?所以您说的forward转发情况应该不存在把

    作者回复: 会存在的

    2019-08-12
  • N_H
    如果前面的不理解,到这里的有些细节会不理解

    作者回复: 可以回过头去再看

    2019-08-06
  • beiler
    老师能问下内外网隔离干嘛用的吗?为什么要做内外网隔离?如果做渗透测试的话我们设备应该部署在哪?

    作者回复: 接入区域

    2019-04-15
  • dexter
    访问虚拟机里面的163的时候,为什么要同时做dnat和snat呢?返回结果不能用conntract链路跟踪方式么?也就是不需要做snat了

    作者回复: 虚拟机在远端的话。

    2019-04-12
  • 超超
    回答问题一:iptables的规则指定queue,意思是把网络数据包送入到用户空间的指定消息队列ID,在用户空间可以自己编程!
    iptables还有扩展的NFQUEUE,可以指定分配给某个范围的多个队列号,在用户态可以实现更高级的负载均衡策略。

    作者回复: 是的,可以交给用户态,自己处理

    2019-04-09
  • Garry
    老师,有个疑问,您在安全组的例子中说在网桥中统一配置规则,但是网桥是二层设备,应该对链路层以上是透明的,不会拿下来IP头来查看,那iptables的规则是如何应用在网桥上呢?

    作者回复: 这是虚拟的网桥,不是纯正的二层设备了

    2019-04-06
收起评论
26
返回
顶部