趣谈网络协议
刘超
前网易研究院云计算技术部首席架构师
130417 人已学习
新⼈⾸单¥68
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 51 讲
开篇词 (1讲)
开篇词 | 想成为技术牛人?先搞定网络协议!
时长 06:08
第一模块 通信协议综述 (4讲)
第1讲 | 为什么要学习网络协议?
时长 12:41
第2讲 | 网络分层的真实含义是什么?
时长 11:10
第3讲 | ifconfig:最熟悉又陌生的命令行
时长 15:25
第4讲 | DHCP与PXE:IP是怎么来的,又是怎么没的?
时长 13:50
第二模块 底层网络知识详解:从二层到三层 (5讲)
第5讲 | 从物理层到MAC层:如何在宿舍里自己组网玩联机游戏?
时长 10:40
第6讲 | 交换机与VLAN:办公室太复杂,我要回学校
时长 18:31
第7讲 | ICMP与ping:投石问路的侦察兵
时长 13:01
第8讲 | 世界这么大,我想出网关:欧洲十国游与玄奘西行
时长 16:18
第9讲 | 路由协议:西出网关无故人,敢问路在何方
时长 17:20
第二模块 底层网络知识详解:最重要的传输层 (4讲)
第10讲 | UDP协议:因性善而简单,难免碰到“城会玩”
时长 16:56
第11讲 | TCP协议(上):因性恶而复杂,先恶后善反轻松
时长 16:17
第12讲 | TCP协议(下):西行必定多妖孽,恒心智慧消磨难
时长 23:16
第13讲 | 套接字Socket:Talk is cheap, show me the code
时长 19:43
第二模块 底层网络知识详解:最常用的应用层 (4讲)
第14讲 | HTTP协议:看个新闻原来这么麻烦
时长 22:08
第15讲 | HTTPS协议:点外卖的过程原来这么复杂
时长 15:04
第16讲 | 流媒体协议:如何在直播里看到美女帅哥?
时长 18:29
第17讲 | P2P协议:我下小电影,99%急死你
时长 26:41
第二模块 底层网络知识详解:陌生的数据中心 (6讲)
第18讲 | DNS协议:网络世界的地址簿
时长 11:56
第19讲 | HttpDNS:网络世界的地址簿也会指错路
时长 15:02
第20讲 | CDN:你去小卖部取过快递么?
时长 14:48
第21讲 | 数据中心:我是开发商,自己拿地盖别墅
时长 15:33
第22讲 | VPN:朝中有人好做官
时长 21:06
第23讲 | 移动网络:去巴塞罗那,手机也上不了脸书
时长 22:12
第三模块 热门技术中的应用:云计算中的网络 (5讲)
第24讲 | 云中网络:自己拿地成本高,购买公寓更灵活
时长 14:30
第25讲 | 软件定义网络:共享基础设施的小区物业管理办法
时长 18:26
第26讲 | 云中的网络安全:虽然不是土豪,也需要基本安全和保障
时长 14:32
第27讲 | 云中的网络QoS:邻居疯狂下电影,我该怎么办?
时长 10:41
第28讲 | 云中网络的隔离GRE、VXLAN:虽然住一个小区,也要保护隐私
时长 19:30
第三模块 热门技术中的应用:容器技术中的网络 (3讲)
第29讲 | 容器网络:来去自由的日子,不买公寓去合租
时长 16:27
第30讲 | 容器网络之Flannel:每人一亩三分地
时长 11:41
第31讲 | 容器网络之Calico:为高效说出善意的谎言
时长 17:43
第三模块 热门技术中的应用:微服务相关协议 (5讲)
第32讲 | RPC协议综述:远在天边,近在眼前
时长 14:18
第33讲 | 基于XML的SOAP协议:不要说NBA,请说美国职业篮球联赛
时长 09:11
第34讲 | 基于JSON的RESTful接口协议:我不关心过程,请给我结果
时长 11:41
第35讲 | 二进制类RPC协议:还是叫NBA吧,总说全称多费劲
时长 12:47
第36讲 | 跨语言类RPC协议:交流之前,双方先来个专业术语表
时长 13:47
第四模块 网络协议知识串讲 (4讲)
第37讲 | 知识串讲:用双十一的故事串起碎片的网络协议(上)
时长 09:52
第38讲 | 知识串讲:用双十一的故事串起碎片的网络协议(中)
时长 09:51
第39讲 | 知识串讲:用双十一的故事串起碎片的网络协议(下)
时长 14:42
第40讲 | 搭建一个网络实验环境:授人以鱼不如授人以渔
时长 09:44
答疑与加餐 (8讲)
协议专栏特别福利 | 答疑解惑第一期
时长 14:41
协议专栏特别福利 | 答疑解惑第二期
时长 16:47
协议专栏特别福利 | 答疑解惑第三期
时长 19:31
协议专栏特别福利 | 答疑解惑第四期
时长 10:46
协议专栏特别福利 | 答疑解惑第五期
时长 12:04
加餐1 | 创作故事:我是如何创作“趣谈网络协议”专栏的?
时长 12:12
加餐2 | “趣谈网络协议”专栏食用指南
时长 07:41
第2季回归 | 这次我们来“趣谈Linux操作系统”
时长 01:50
结束语 (2讲)
结束语 | 放弃完美主义,执行力就是限时限量认真完成
时长 06:43
结课测试 | 这些网络协议你都掌握了吗?
时长 00:43
趣谈网络协议
15
15
1.0x
00:00/00:00
登录|注册

第26讲 | 云中的网络安全:虽然不是土豪,也需要基本安全和保障

刘超
为虚拟机部署的网站配置固定IP
多个虚拟机共享一个公网IP
公网IP和私网IP的转换
通过网桥和Agent实现
仅允许指定IP访问指定端口
POSTROUTING链
OUTPUT链
FORWARD链
INPUT链
PREROUTING链
POSTROUTING链
OUTPUT链
PREROUTING链
OUTPUT链
FORWARD链
INPUT链
技术浪潮中的线性成长
合法用户抢占网络通道的策略
使用QUEUE实现负载均衡
固定IP的配置
MASQUERADE
Snat和Dnat
批量下发规则
安全策略
mangle表
nat表
filter表
表和链的概念
ip_tables内核模块
POSTROUTING
OUTPUT
FORWARD
INPUT
PREROUTING
安全组在云平台上实现
通过ACL控制IP和端口
仅开放需要的端口
需要进行安全加固
存在黑客
提问和交流
分享从业多年的心得体会
网络协议作为案例
直播主题
思考题
iptables的应用
iptables
Netfilter框架
安全组和ACL
公有云的环境
技术人如何在技术浪潮中线性成长?
云中的网络安全

该思维导图由 AI 生成,仅供参考

在今天的内容开始之前,我先卖个关子。文章结尾,我会放一个超级彩蛋,所以,今天的内容你一定要看到最后哦!
上一节我们看到,做一个小区物业维护一个大家共享的环境,还是挺不容易的。如果都是自觉遵守规则的住户那还好,如果遇上不自觉的住户就会很麻烦。
就像公有云的环境,其实没有你想的那么纯净,各怀鬼胎的黑客到处都是。扫描你的端口呀,探测一下你启动的什么应用啊,看一看是否有各种漏洞啊。这就像小偷潜入小区后,这儿看看,那儿瞧瞧,窗户有没有关严了啊,窗帘有没有拉上啊,主人睡了没,是不是时机潜入室内啊,等等。
假如你创建了一台虚拟机,里面明明跑了一个电商应用,这是你非常重要的一个应用,你会把它进行安全加固。这台虚拟机的操作系统里,不小心安装了另外一个后台应用,监听着一个端口,而你的警觉性没有这么高。
虚拟机的这个端口是对着公网开放的,碰巧这个后台应用本身是有漏洞的,黑客就可以扫描到这个端口,然后通过这个后台应用的端口侵入你的机器,将你加固好的电商网站黑掉。这就像你买了一个五星级的防盗门,卡车都撞不开,但是厕所窗户的门把手是坏的,小偷从厕所里面就进来了。
所以对于公有云上的虚拟机,我的建议是仅仅开放需要的端口,而将其他的端口一概关闭。这个时候,你只要通过安全措施守护好这个唯一的入口就可以了采用的方式常常是用 ACL(Access Control List,访问控制列表)来控制 IP 和端口。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

在公有云环境中保障虚拟机安全至关重要。本文以小区物业维护的比喻引出了公有云环境中的安全隐患,并强调了黑客对其潜在威胁。作者提出了利用Netfilter框架和iptables命令实现安全策略的建议,并详细介绍了Netfilter框架的工作原理、iptables命令的使用方法以及在云平台上实现安全组规则的批量下发。此外,文章还探讨了在云平台中使用iptables进行网络地址转换(NAT)的重要性和实现方法。通过对Snat和Dnat规则的解释,强调了在云平台中部署虚拟机时需要考虑的网络安全问题。总的来说,本文强调了在云中实施安全策略的重要性,以及如何利用现有技术手段来保障云中虚拟机的安全性。这些内容对于需要在公有云环境中部署虚拟机的用户和运维人员来说具有实际指导意义。文章内容深入浅出,为读者提供了对云中网络安全重要性和实现方法的全面了解。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《趣谈网络协议》新⼈⾸单¥68
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
第1讲 | 为什么要学习网络协议?
第3讲 | ifconfig:最熟悉又陌生的命令行
第4讲 | DHCP与PXE:IP是怎么来的,又是怎么没的?
第11讲 | TCP协议(上):因性恶而复杂,先恶后善反轻松
第15讲 | HTTPS协议:点外卖的过程原来这么复杂
协议专栏特别福利 | 答疑解惑第五期
登录 后留言

全部留言(44)

  • 最新
  • 精选
  • 小宇宙
    k8s的kube-proxy 就是利用的iptables 做流量转发和负载均衡的,service 利用nat 将相应的流量转发到对应的pod中,另外iptables 有一个probability特性,可以设置probability的百分比是多少,从而实现负载均衡

    作者回复: 对的

    2018-08-24
    55
  • Garry
    对表和链比较迷糊的同学,结合这个博客的内容看起来可能更容易理解,http://www.zsythink.net/archives/1199

    作者回复: 赞

    2019-04-06
    2
    23
  • lji
    一点疑问:如果说多人共享一个 IP 访问 163.com,通过 Snat 转换出去之后是 “源 / 目的 IP+ 源 / 目的端口” 作为唯一表示访问,一个主机的可用端口是 65536-1024 个,那么是否意味者当并发超过这个数时,比如一个 公网IP 内所有用户同时访问 163.com 超过65536-1024 个,那么运营商的端口不够用,此时会出现什么问题?

    作者回复: 的确就没办法访问了。但是很少有一个网络内部有6万个。就算是一个公司,也不会超过6万个共用一个snat网关

    2020-01-10
    2
  • ALAN
    老师,mac地址一样的,ip地址怎么还会不一样了?因为mac地址是唯一的,所以应该不会存在mac地址相同的多个ip地址把?所以您说的forward转发情况应该不存在把

    作者回复: 会存在的

    2019-08-12
    4
  • N_H
    如果前面的不理解,到这里的有些细节会不理解

    作者回复: 可以回过头去再看

    2019-08-06
  • beiler
    老师能问下内外网隔离干嘛用的吗?为什么要做内外网隔离?如果做渗透测试的话我们设备应该部署在哪?

    作者回复: 接入区域

    2019-04-15
  • dexter
    访问虚拟机里面的163的时候,为什么要同时做dnat和snat呢?返回结果不能用conntract链路跟踪方式么?也就是不需要做snat了

    作者回复: 虚拟机在远端的话。

    2019-04-12
  • 超超
    回答问题一:iptables的规则指定queue,意思是把网络数据包送入到用户空间的指定消息队列ID,在用户空间可以自己编程! iptables还有扩展的NFQUEUE,可以指定分配给某个范围的多个队列号,在用户态可以实现更高级的负载均衡策略。

    作者回复: 是的,可以交给用户态,自己处理

    2019-04-09
  • Garry
    老师,有个疑问,您在安全组的例子中说在网桥中统一配置规则,但是网桥是二层设备,应该对链路层以上是透明的,不会拿下来IP头来查看,那iptables的规则是如何应用在网桥上呢?

    作者回复: 这是虚拟的网桥,不是纯正的二层设备了

    2019-04-06
  • 人丑就应多读书
    老师我有个问题,之前讲了gslb的原理,那么本地负载均衡slb是通过netfilter进行的实现吗?

    作者回复: 负载均衡实现方法比较多,lvs, haproxy都可以

    2018-11-07
收起评论
显示
设置
留言
44
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部