网络扩展
端口转发
端口转发是将应用程序和服务连接到 Internet 的重要组件。如果没有端口转发,应用程序和服务(如 Web 服务器)只能用于同一直接网络内的设备。
以下面的网络为例。在此网络中,IP 地址为“192.168.1.10”的服务器在端口 80 上运行 Web 服务器。只有此网络上的其他两台计算机能够访问它(这称为 Intranet)。
如果管理员希望公众可以访问网站(使用 Internet),则必须实施端口转发,如下图所示:
通过这种设计,网络 #2 现在将能够使用网络 #1 的公共 IP 地址 (82.62.51.70) 访问在网络 #1 上运行的 Web 服务器。
很容易将端口转发与防火墙的行为混淆(我们将在后面的任务中讨论这项技术)。但是,在这个阶段,只需了解端口转发会打开特定端口(回想一下数据包的工作原理)。相比之下,防火墙确定流量是否可以通过这些端口传输(即使这些端口通过端口转发打开)。
端口转发在网络的路由器上配置。
防火墙基础
防火墙是网络中负责确定允许哪些流量进出的设备。将防火墙视为网络的边界安全。管理员可以根据多种因素配置防火墙以允许 或 拒绝 流量进入或退出网络,例如:
- 流量来自哪里?(是否告知防火墙接受/拒绝来自特定网络的流量?)
- 流量去哪里了?(是否告知防火墙接受/拒绝发往特定网络的流量?)
- 流量用于哪个端口?(是否已告知防火墙仅接受/拒绝发往端口 80 的流量?)
- 流量使用什么协议?(是否告知防火墙接受/拒绝 UDP、TCP 或两者兼而有之的流量?)
防火墙执行数据包检查以确定这些问题的答案。
防火墙有各种形状和大小。从可以处理大量数据的专用硬件(通常位于企业等大型网络中)到住宅路由器(如您家中)或 Snort 等软件,防火墙可分为 2 到 5 类。
我们将在下表中介绍防火墙的两大主要类别:
| 防火墙类别 | 描述 |
|---|---|
| Stateful 状态 | 这种类型的防火墙使用来自连接的全部信息;此防火墙不是检查单个数据包,而是根据整个连接确定设备的行为。与无状态防火墙相比,这种防火墙类型会消耗许多资源,因为决策是动态的。例如, 防火墙可能允许 TCP 握手的第一部分,但稍后会失败。如果来自主机的连接错误,它将阻止整个设备。 |
| Stateless 无状态 | 此防火墙类型使用一组静态规则来确定单个数据包是否可接受。例如,发送错误数据包的设备并不一定意味着整个设备随后被阻止。虽然这些防火墙使用的资源比其他防火墙少得多,但它们要笨得多。例如,这些防火墙仅对其中定义的规则有效。如果规则不完全匹配,它实际上就毫无用处。 但是,当从一组主机接收大量流量(例如分布式拒绝服务攻击)时,这些防火墙非常有用 |
防火墙练习
恶意流量被标记为红色数据包。合法流量是标记为绿色的数据包。您需要阻止的协议是端口 80。 配置防火墙 ,防止恶意数据包到达 Web 服务器 203.0.110.1。
VPN基础知识
A Virtual Private Network(或 简称 VPN )是一种技术,它允许不同网络上的设备通过通过 Internet 在彼此之间创建专用路径(称为隧道)来安全地通信。在此隧道中连接的设备将形成自己的专用网络。
例如,只有同一网络(例如企业内部)内的设备才能直接通信。但是,VPN 允许连接两个办公室。让我们看下图,其中有三个网络:
- Network #1 (Office #1)
- Network #2 (Office #2)
- Network #3 (通过 VPN 连接的两台设备)
连接在网络 #3 上的设备仍然是网络 #1 和网络 #2 的一部分,但也共同形成一个专用网络(网络 #3),只有通过此 VPN 连接的设备才能通过该网络进行通信。
让我们在下表中介绍 VPN 提供的其他一些好处:
| 效益 | 描述 |
|---|---|
| 允许连接不同地理位置的网络。 | 例如,拥有多个办事处的企业会发现 VPN 是有益的,因为这意味着可以从另一个办公室访问服务器/基础设施等资源。 |
| 提供隐私。 | VPN 技术使用加密来保护数据。这意味着它只能在发送它的设备和目的地之间被理解,这意味着数据不易被嗅探。这种加密在网络不提供加密的公共 WiFi 的地方很有用。您可以使用 VPN 来保护您的流量不被其他人查看。 |
| 提供匿名 | 记者和活动家依靠 VPN 在言论自由受到控制的国家/地区安全地报道全球问题。通常,您的 ISP 和其他中介可以查看您的流量,因此可以对其进行跟踪。VPN 提供的匿名性级别仅与网络上其他设备尊重隐私的方式一样多。例如,在这方面,记录您所有数据/历史记录的 VPN 与不使用 VPN 本质上相同。 |
TryHackMe 使用 VPN 将您连接到我们易受攻击的机器,而无需在 Internet 上直接访问它们!这意味着:
- 您可以安全地与我们的机器交互
- 服务提供商(如 ISP)不会认为您正在攻击 Internet 上的另一台计算机(这可能违反服务条款)
- VPN 为 TryHackMe 提供安全性,因为无法使用 Internet 访问易受攻击的机器。
VPN 技术多年来一直在改进。让我们在下面探索一些现有的 VPN 技术:
| **VPN Technology ** | 描述 |
|---|---|
| PPP | PPTP 使用此技术(如下所述)来允许身份验证并提供数据加密。VPN 通过使用私钥和公有证书(类似于 SSH)来工作。私钥和证书必须匹配才能连接。该技术无法自行离开网络(不可路由)。 |
| PPTP | (PPTP) 是允许来自 PPP 的数据传输和离开网络的技术。PPTP 非常易于设置,并且大多数设备都支持。但是,与其他选择相比,它的加密较弱。 |
| IPSec | 协议安全 (IPsec) 使用现有的 Internet Protocol (IP) 框架对数据进行加密。与其他选择相比,IPSec 很难设置;但是,如果成功,它拥有强大的加密功能,并且许多设备也支持它。 |
LAN 联网设备
什么是路由器
路由器的工作是连接网络并在它们之间传递数据。它通过使用路由来实现这一点(因此得名 router)
路由是给跨网络传输数据的过程的标签。路由涉及在网络之间创建路径,以便成功传送此数据。路由器在 OSI 模型的第 3 层运行。它们通常具有交互式界面(例如网站或控制台),允许管理员配置各种规则,例如端口转发或防火墙。
当设备通过许多路径连接时,路由非常有用,例如在下面的示例图中,其中采用最佳路径:
路由器是专用设备,不执行与交换机相同的功能。
我们可以看到,计算机 A 的网络通过中间的两个路由器连接到计算机 B 的网络。问题是:将采取什么道路?不同的协议将决定应该采取什么路径,但因素包括:
- 最短的路径是什么?
- 什么路径最可靠?
- 哪条路径具有更快的介质(例如铜缆或光纤)?
什么是交换机
交换机是一种专用网络设备,负责提供连接到多个设备的方法。交换机可以使用以太网电缆为许多设备(从 3 到 63 个)提供服务。
交换机可以在 OSI 模型的第 2 层和第 3 层运行。但是,这些是排他性的,因为第 2 层交换机不能在第 3 层运行。
以下图中的第 2 层交换机为例。这些交换机将使用帧的 MAC 地址将帧(请记住,这些不再是数据包,因为 IP 协议已被剥离)转发到连接的设备上。
这些交换机仅负责将帧发送到正确的设备。
现在,让我们来看看第 3 层交换机。这些交换机比第 2 层更复杂,因为它们可以执行 路由器的一些职责。也就是说,这些交换机将帧发送到设备(就像第 2 层一样),并使用 IP 协议将数据包路由到其他设备。
让我们看一下下图中的第 3 层交换机。我们可以看到有两个 IP 地址:
- 192.168.1.1
- 192.168.2.1
一种称为 VLAN (Virtual Local Area Network) 的技术允许对网络内的特定设备进行虚拟拆分。这种拆分意味着他们都可以从 Internet 连接等中受益,但被单独处理。这种网络分离提供了安全性,因为这意味着现有的规则决定了特定设备如何相互通信。这种分离如下图所示:
在上图的上下文中,“销售部门”和“会计部门”将能够访问 Internet,但无法相互通信(尽管它们连接到同一交换机)。