公衆無線LANで仕事をしても大丈夫?
这个问题其实很早就被讨论过了,但本文作者EGセキュアソリューションズ 取締役CTO 徳丸 浩桑的回答也太过简单了.
主要是关心Wifi网络的安全性问题,他认为有2点要确认:
1)接続するアクセスポイント(AP)が正しいかどうかです。一般在咖啡馆或是酒店里都会有贴本楼层或是本房间的SSID,要确认是否相同.
- 但SSID并不是不能重复,攻击者可以设置一个同名的网络诱骗小白去连接.所以一般要把路由器默认的SSID改个名,然后2.4Ghz和5Ghz的要分开设置等.
- 另外就是不设密码的无线网络(除了防灾专用的那种以外)一般是不安全的,不要连接.
2)接続しようとしているURLの確認.一般只有HTTPS开头的网站才是安全的,不过现在Chrome还是Sari浏览器都有安全提示,大家注意一下就没什么问题.
自己在网上搜索了下,还有其他注意事项也应该加进来
3)Wi-Fiの接続を「手動」設定に切り替える
防止有冒名Wifi被自动连接
4)使わないときはWi-Fiを切っておく
理由同上,防止长期间使用恶意Wifi而不自知
5)VPNサービスを利用する
这个一般在公共场所没有VPN的使用条件,公司配的手机上用得比较多.
不要な通信を判断・遮断
FW对象,不使用的端口要关闭.FW的主要功能有,一个是Inbound流量和Outbond流量的过滤.
另一个是把FW放在DMZ和社内LAN之间.一般DMZ区域放Web服务器,DNS服务器,Mail服务器等.不管是DMZ还是社内LAN,流量都要经过FW.
具体可以对照下图:
那么具体如何设置过滤规则呢?
就像Routing设定分为静态和动态这两种一样,ACL设定是动态规则.
而动态规则使用Statusful Inspection ステートフルインスペクション。
社内LAN的PC向DNS发送数据包(出关的时候),FW会记录目的IP地址等信息.
DNS回复的数据包经过FW时也会进行检查,匹配后才会放行.
2023年秋期 SC考试午后II问17考了这个知识点.
選択肢を1つずつ見ていく。まずアの意味は「『インターネットからWebAPサーバーへのHTTPSを許可する』設定を削除する」である。HTTPSはDBサーバーの移動と無関係なので、変更する必要はない。エの「『インターネットからWebAPサーバーへのODBC▼を許可する』設定を追加する」も同様の理由で追加する必要がない。
ウの「『WebAPサーバーから変更後のDBサーバーへのSSH▼を許可する』設定の追加」は、条件に注目して考える。設問中の条件(3)には「SSHを使用して各サーバに接続できるのは、運用管理PCだけである」とある。WebAPサーバーとDBサーバー間のSSH通信はこの条件に当てはまらない。よってウも誤りである。
イの「『運用管理PCから変更前のDBサーバーへのSSHを許可する』設定を削除する」について、この許可はDBサーバーが運用管理PCと同じ内部ネットワークに移動し不要となった。条件(4)に「フィルタリングルールは、必要な通信だけを許可する設定にする」とあり、不要なルールは削除すべきだ。よって正解はイとなる。