数据中心布线,EoR、MoR 还是 ToR?
ToR(架顶式)、EoR(排尾式)和 MoR(排中式)是数据中心网络设计中常用的三种布线架构。它们之间的主要区别在于交换机和服务器的物理位置以及布线方式。数据中心服务器机房的布局通常采用矩形结构,为了保证散热效果,通常将10到20个机柜背靠背、并排排列成一对机柜组(也称为POD)。在具体解释布线结构之前,我们先了解下什么是数据中心空间。什么数据中心的空间?在设计数据中心网络架构的时候,会把数据中心
HPKP(HTTP Public Key Pinning)详解
HPKP是什么HPKP(HTTP Public Key Pinning)又名公钥打孔,可以通过告知客户端将特定的加密公钥与特定服务器关联,以减少通过伪造证书进行中间人攻击(MITM)的风险.HPKP原理HPKP是一种首次信任技术,当客户端第一次访问服务器的时候,服务器通过特定的HTTP头来告知客户端哪些公钥是属于它的,客户端会将该信息存储一段时间,当客户端第二次访问服务端的时候,它会期望当前证书链
HTTP公钥固定(Public Key Pinning)扩展:HPKP 详解
一、什么是HPKP?HTTP公钥固定(HPKP)是一种安全功能,它告诉Web客户端将特定加密公钥与某个Web服务器相关联,以降低使用伪造证书进行“MITM攻击(中间人攻击)”的风险。为了确保TLS会话中使用的服务器公钥的真实性,此公钥将包装到X.509证书中,该证书通常由证书颁发机构(CA)签名。诸如浏览器之类的Web客户端信任许多这些CA,它们都可以为任意域名创建证书。如果攻击者能够破坏单个CA
HTTP Public Key Pinning 介绍
上篇文章中,我介绍了由 Google 推动的 Certificate Transparency 技术,它旨在通过开放的审计和监控系统,提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。我们知道,受信任的 CA(证书颁发机构)有好几百个,他们成为整个网
如何启用 Certificate Transparency
简单认识 Certificate Transparency根据维基百科的解释,Certificate Transparency (CT) 目前是一项实验性的 IETF 开放标准以及开放源代码的框架,用于监控以及审计数字证书。通过证书日志、监控以及审计系统,将允许网站用户以及域名所有者来判断辨别错误或者恶意签发的证书,并且可以找出那些流氓的 CA。翻译自维基百科:https://en.wikiped
使用 Wireshark 调试 HTTP2 流量
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码。与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证。以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,
三种解密 HTTPS 流量的方法介绍
Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全堡垒土崩瓦解。拿 HTTPS 来说,它的「内容加密、数据完整性、身份认证」三大安全保证,也会受到非法根证书、服务端配置错误、SSL 库漏洞、私钥被盗等等风险的影响。很多同学认为只要访问的网站地址前有一把小绿锁就绝对安全,其实不然。本文通过介绍三种最常规的 HTTPS 流量解密方法及原理,浅谈一下 HTTPS 的安全风险。Man-in-the
图解七大加密模式:从ECB到GCM,彻底搞懂数据如何“上锁”
开篇故事:一封被篡改的加密邮件某公司使用ECB模式加密合同文档,攻击者通过替换特定密文块,将“支付金额100万”篡改为“支付金额900万”。这场事故暴露了加密模式选择的重要性——不同的加密模式,直接决定数据的安全性等级。本文将通过图解+代码,带你深入理解7大主流加密模式的工作原理。一、加密模式基础在正式介绍加密模式之前,我们先来学习两组基础术语。1. 块加密 vs 流加密块加密(Block Cip
传输模式和隧道模式的区别
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景IPSec VPN的应用场景分为3种:Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的
100条安全架构精髓知识,吃透40条进阶专家!
一、基础安全体系(20项)最小权限原则:所有账号、服务仅授予完成任务所需权限,定期审查并撤销多余权限。日志全生命周期管理:采用Filebeat、Logstash等工具统一采集→加密传输→集中存储→与SIEM联动分析→归档。漏洞闭环管理:部署定期扫描计划(如每日自动扫描),高危漏洞需24小时内修复并验证关闭状态。密码策略:密码长度≥12位,需包含大小写字母、数字和符号,禁止重复或弱口令,强制90天更