外網訪問軟體2021

『壹』 端點安全雜談（十六）PC沙箱（中）

繼續上一篇接著白活，再來談談相關產品和指南內容。

相關產品方面，有兩個國外產品值得一說，一個是Sandboxie和Windows沙箱。Sandboxie和Windows沙箱都是用於創建隔離環境，以安全測試未知程序的工具。它們在功能和使用上各有特點，但主要目標都是為了提供一個安全的測試環境，避免未知程序對系統造成傷害。

VirusTotal是一個免費的可疑文件分析網站，成立於2004年，由Hispasec Sistemas創立。VirusTotal提供了一個方便的外殼擴展，叫做VirusTotal Uploader，讓用戶可以輕松上傳文件進行分析。該網站可以在瀏覽器中操作，無需安裝額外軟體，但僅能掃描提交的文件，無法對整個計算機進行全面檢查，並且只支持上傳容量在30MB以下的文件。VirusTotal每15分鍾更新一次病毒資料庫，能實時提供最新的反病毒引擎以檢測威脅。它支持超過40個惡意程序檢測引擎，結果更全面。全球只有七家沙箱合作夥伴與VirusTotal有合作。

CrowdStrike的Falcon Sandbox則採用了內核級運行和復雜沙盒技術，幾乎無法被惡意軟體檢測到，能有效擊敗甚至是最狡猾的惡意軟體。它不僅監控惡意行為和系統交互，還能提供業內最廣泛的一套妥協指標(ioc)。CrowdStrike的惡意軟體分析報告提供實用的指導，幫助威脅排序和響應，並深入研究內存捕獲和堆棧跟蹤。此外，它還支持與現有安全解決方案的編排，並提供反規避技術、環境定製和易於理解的報告，支持廣泛的文件類型和惡意軟體搜索。CrowdStrike Falcon Sandbox提供雲交付服務，消除基礎設施、部署和維護成本，確保從第一天開始就能實現價值。

深信服零信任UEM作為一個代表，提供了移動端和PC端的沙箱能力，兼容性高，能適應多種操作系統平台。零信任沙箱在終端上創建邏輯隔離的安全工作空間，為用戶提供SSL通信加密、落地文件加密、內外網路訪問隔離、剪切板控制、外設管控、程序管控、文件外發管控、屏幕水印等功能。它支持與深信服aTrust產品集成，提供網路訪問控制和程序運行限制等功能，為用戶提供了全面的安全防護。

基於GW0015-2021《政務外網終端一機兩用安全管控技術指南》，政務外網終端一機兩用網路准入控制平台建設需要根據終端安全管控的一般技術要求，分別在廣域網、城域網、區域網採取不同的安全管控技術措施。安全管理框架包括全盤統籌、多級部署、分層管控和屬地管理原則，統一管控模式和自行管控模式適用於政務外網的不同部署場景。技術框架包括廣域網邊界安全控制、城域網邊界安全控制、區域網終端安全控制，以及終端接入政務外網的技術要求，如身份認證、安全檢查、通信傳輸安全、應用訪問控制和數據統計分析。

『貳』 使用樹莓派打造一個私人NAS+博客（1）——網路篇

title: 樹莓派NAS_網路篇
date: 2021-01-26 10:35:00
tags:
- 樹莓派
- NAS
- 網路
blog_home: http://www.smcbaq.top:8081/

我的計劃是使用樹莓派搭建一個 個人博客+NAS 的組合，一開始使用的是 樹莓派3b+ ，已經做到了搭建基於 hexo 的個人博客，但是之前因為條件原因在電源，接線等問題上做出了各種妥協，最後導致有一定的問題，這次我重新使用 樹莓派4b 部署一次，並且記錄下這次的搭建過程留個記錄，如果有人發現了這個系列文章，有興趣可以試試，畢竟我也不知道這個可能能有多少人看。

在這個系列文章中，有的步驟可能按照別人的文章博客可以直接完成沒有什麼坑點，我就不再贅述了，直接使用鏈接，重點是中間可能涉及的坑點。

電腦一台、路由器一台（我使用安裝了改版梅林的網件R6300U）、樹莓派一個（帶電源，我使用4b）、網線一根（可選，我使用支持千兆的超五類線）

家庭組網重點是把路由器搞好就成了，我們這一步的目標就是讓樹莓派可以內網訪問，我家網路是如下結構：

很簡單的結構，簡單來講就是主路由管客廳，從路由管房間，由於主路由性能更加優良樹莓派計劃接到主路由上，而我大部分時間是在房間裡面連接從路由的WiFi，所以需要注意主從路由不能打開 AP隔離 ，不然電腦不能訪問到路由，其他的默認就行了，路由器尤其是主路由推薦使用 dhcp模式 ，要想驗證很簡單，手機連接主路由，電腦連接從路由，電腦手機能互相ping通即可，安卓手機ping電腦使用APP: termux 。

樹莓派安裝好系統打開ssh連接即可，我使用的是 Raspberry Pi OS（Raspbian） 的desktop版，沒有安裝推薦軟體的版本，具體開啟方式是在boot盤符下添加一個名為 ssh 的文件即可，不要任何後綴。

安裝樹莓派系統可以學習這個 教程

然後將樹莓派接好電源，插好網線連接到主路由的 LAN口 ，等待一段時間，在路由器管理界面找到樹莓派分配到的 IP （設備名通常為 pi 或者 raspberrypi ），電腦ssh連接樹莓派成功即可，樹莓派初始用戶名為 pi ，默認密碼為 raspberry ，記得使用 passwd 和 sudo passwd root 來分別修改 pi 用戶和 root 用戶的密碼。

如果沒有網線，則先提前給樹莓派 設置好WLAN連接 ，然後找IP連ssh都一樣了，但是不建議這樣做，具體原因後面的文章中 軟體篇 會提到，當然如果到時候看了則另說。

公網訪問其實並不是一個硬需求，可以通過 frp 來做內網穿透，但是這就需要一個額外的伺服器，這就有點有違初心了，畢竟我本來搞這個的目的之一就是為了多出一個伺服器嘛。

公網訪問重點就是要有公網IP，有的運營商會直接給一個公網IP，比如我在學校的電信寢室寬頻，但是絕大多數都不會給，所以需要提前判斷一下，主要有兩個方法：

如果沒有公網IP，那麼打自己家寬頻提供商的電話叫客服開通一下，一般來說都是包含在了寬頻服務中的，如果問起來你要干什麼用可以說自己家裡要弄監控需要公網IP隨時查看，一般很快就開通了，免去扯皮的功夫。

雖然說拿到了公網IP但是一般來說運營商提供的都是動態IP，之後外網訪問的時候會比較麻煩（路由器一般會提供遠程查看軟體，可以看到IP，但是經常都得換IP訪問這根本方便嘛），所以我們需要使用動態域名解析——DDNS，這樣就可以使用域名直接訪問了

首先是梅林自帶的華碩家的免費DDNS，由於我的網件刷魔改梅林的版本有BUG，DDNS經常會自己斷掉，就得手動操作路由器打開，由於過於頻繁大概2-3天一次所以我最後選擇放棄，但是實測華碩AC68U的官方梅林不會出現這個BUG。

最後我的選擇是阿里雲的DDNS，魔改梅林的優勢在這里就體現出來了，可以直接安裝插件，設置好以下 標記 內容即可。

購買域名有一系列的實名制操作，如果已經有這個需求了請耐心完成

最後我購買的是一個比較便宜的域名，個人博客正在使用的就是這個域名 http://www.smcbaq.top:8081

這個很好理解，因為內網的設備不能直接訪問，所以我們需要設置路由器做一個埠轉發來映射設備，梅林固件在以下 標記 中設置通信埠和本地埠即可

通信埠是外網設備連接時訪問的埠，本地埠是本地設備（這里是樹莓派）開啟的服務佔用的埠，前者隨便設，後者需要注意配置，例如：

我希望訪問8081埠來訪問我的博客，那麼通信埠設置8081，這個博客服務運行在樹莓派的8080埠上，那麼本地埠設置為8080，本地IP是樹莓派的IP，通信協議使用TCP。

添加後保存即可。

ps:這裡面的操作我完成得比較早，教程是寫文臨時找的，可能在你的電腦上有點坑，記得仔細操作不要看見命令盲目 ctrl+c/v 。

如果從路由功能比較齊全，可以打開 AP模式 的話，則可以使用兩個同名WiFi在家裡無縫切換相當方便。

可以給樹莓派設置一個固定分配的內網IP地址，雖然一般不會變動但是一旦變動了會比較麻煩。

ssh連接可以將電腦的公鑰交給樹莓派實現 免密ssh登錄 ，具體教程 在這里 ， windows生成公鑰 教程是 這個 。

電腦可以使用vs-code安裝Remote-SSH插件來方便文件操作，具體使用自行查找，挺簡單的。