外网访问软件2021

‘壹’ 端点安全杂谈（十六）PC沙箱（中）

继续上一篇接着白活，再来谈谈相关产品和指南内容。

相关产品方面，有两个国外产品值得一说，一个是Sandboxie和Windows沙箱。Sandboxie和Windows沙箱都是用于创建隔离环境，以安全测试未知程序的工具。它们在功能和使用上各有特点，但主要目标都是为了提供一个安全的测试环境，避免未知程序对系统造成伤害。

VirusTotal是一个免费的可疑文件分析网站，成立于2004年，由Hispasec Sistemas创立。VirusTotal提供了一个方便的外壳扩展，叫做VirusTotal Uploader，让用户可以轻松上传文件进行分析。该网站可以在浏览器中操作，无需安装额外软件，但仅能扫描提交的文件，无法对整个计算机进行全面检查，并且只支持上传容量在30MB以下的文件。VirusTotal每15分钟更新一次病毒资料库，能实时提供最新的反病毒引擎以检测威胁。它支持超过40个恶意程序检测引擎，结果更全面。全球只有七家沙箱合作伙伴与VirusTotal有合作。

CrowdStrike的Falcon Sandbox则采用了内核级运行和复杂沙盒技术，几乎无法被恶意软件检测到，能有效击败甚至是最狡猾的恶意软件。它不仅监控恶意行为和系统交互，还能提供业内最广泛的一套妥协指标(ioc)。CrowdStrike的恶意软件分析报告提供实用的指导，帮助威胁排序和响应，并深入研究内存捕获和堆栈跟踪。此外，它还支持与现有安全解决方案的编排，并提供反规避技术、环境定制和易于理解的报告，支持广泛的文件类型和恶意软件搜索。CrowdStrike Falcon Sandbox提供云交付服务，消除基础设施、部署和维护成本，确保从第一天开始就能实现价值。

深信服零信任UEM作为一个代表，提供了移动端和PC端的沙箱能力，兼容性高，能适应多种操作系统平台。零信任沙箱在终端上创建逻辑隔离的安全工作空间，为用户提供SSL通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控、屏幕水印等功能。它支持与深信服aTrust产品集成，提供网络访问控制和程序运行限制等功能，为用户提供了全面的安全防护。

基于GW0015-2021《政务外网终端一机两用安全管控技术指南》，政务外网终端一机两用网络准入控制平台建设需要根据终端安全管控的一般技术要求，分别在广域网、城域网、局域网采取不同的安全管控技术措施。安全管理框架包括全盘统筹、多级部署、分层管控和属地管理原则，统一管控模式和自行管控模式适用于政务外网的不同部署场景。技术框架包括广域网边界安全控制、城域网边界安全控制、局域网终端安全控制，以及终端接入政务外网的技术要求，如身份认证、安全检查、通信传输安全、应用访问控制和数据统计分析。

‘贰’ 使用树莓派打造一个私人NAS+博客（1）——网络篇

title: 树莓派NAS_网络篇
date: 2021-01-26 10:35:00
tags:
- 树莓派
- NAS
- 网络
blog_home: http://www.smcbaq.top:8081/

我的计划是使用树莓派搭建一个 个人博客+NAS 的组合，一开始使用的是 树莓派3b+ ，已经做到了搭建基于 hexo 的个人博客，但是之前因为条件原因在电源，接线等问题上做出了各种妥协，最后导致有一定的问题，这次我重新使用 树莓派4b 部署一次，并且记录下这次的搭建过程留个记录，如果有人发现了这个系列文章，有兴趣可以试试，毕竟我也不知道这个可能能有多少人看。

在这个系列文章中，有的步骤可能按照别人的文章博客可以直接完成没有什么坑点，我就不再赘述了，直接使用链接，重点是中间可能涉及的坑点。

电脑一台、路由器一台（我使用安装了改版梅林的网件R6300U）、树莓派一个（带电源，我使用4b）、网线一根（可选，我使用支持千兆的超五类线）

家庭组网重点是把路由器搞好就成了，我们这一步的目标就是让树莓派可以内网访问，我家网络是如下结构：

很简单的结构，简单来讲就是主路由管客厅，从路由管房间，由于主路由性能更加优良树莓派计划接到主路由上，而我大部分时间是在房间里面连接从路由的WiFi，所以需要注意主从路由不能打开 AP隔离 ，不然电脑不能访问到路由，其他的默认就行了，路由器尤其是主路由推荐使用 dhcp模式 ，要想验证很简单，手机连接主路由，电脑连接从路由，电脑手机能互相ping通即可，安卓手机ping电脑使用APP: termux 。

树莓派安装好系统打开ssh连接即可，我使用的是 Raspberry Pi OS（Raspbian） 的desktop版，没有安装推荐软件的版本，具体开启方式是在boot盘符下添加一个名为 ssh 的文件即可，不要任何后缀。

安装树莓派系统可以学习这个 教程

然后将树莓派接好电源，插好网线连接到主路由的 LAN口 ，等待一段时间，在路由器管理界面找到树莓派分配到的 IP （设备名通常为 pi 或者 raspberrypi ），电脑ssh连接树莓派成功即可，树莓派初始用户名为 pi ，默认密码为 raspberry ，记得使用 passwd 和 sudo passwd root 来分别修改 pi 用户和 root 用户的密码。

如果没有网线，则先提前给树莓派 设置好WLAN连接 ，然后找IP连ssh都一样了，但是不建议这样做，具体原因后面的文章中 软件篇 会提到，当然如果到时候看了则另说。

公网访问其实并不是一个硬需求，可以通过 frp 来做内网穿透，但是这就需要一个额外的服务器，这就有点有违初心了，毕竟我本来搞这个的目的之一就是为了多出一个服务器嘛。

公网访问重点就是要有公网IP，有的运营商会直接给一个公网IP，比如我在学校的电信寝室宽带，但是绝大多数都不会给，所以需要提前判断一下，主要有两个方法：

如果没有公网IP，那么打自己家宽带提供商的电话叫客服开通一下，一般来说都是包含在了宽带服务中的，如果问起来你要干什么用可以说自己家里要弄监控需要公网IP随时查看，一般很快就开通了，免去扯皮的功夫。

虽然说拿到了公网IP但是一般来说运营商提供的都是动态IP，之后外网访问的时候会比较麻烦（路由器一般会提供远程查看软件，可以看到IP，但是经常都得换IP访问这根本方便嘛），所以我们需要使用动态域名解析——DDNS，这样就可以使用域名直接访问了

首先是梅林自带的华硕家的免费DDNS，由于我的网件刷魔改梅林的版本有BUG，DDNS经常会自己断掉，就得手动操作路由器打开，由于过于频繁大概2-3天一次所以我最后选择放弃，但是实测华硕AC68U的官方梅林不会出现这个BUG。

最后我的选择是阿里云的DDNS，魔改梅林的优势在这里就体现出来了，可以直接安装插件，设置好以下 标记 内容即可。

购买域名有一系列的实名制操作，如果已经有这个需求了请耐心完成

最后我购买的是一个比较便宜的域名，个人博客正在使用的就是这个域名 http://www.smcbaq.top:8081

这个很好理解，因为内网的设备不能直接访问，所以我们需要设置路由器做一个端口转发来映射设备，梅林固件在以下 标记 中设置通信端口和本地端口即可

通信端口是外网设备连接时访问的端口，本地端口是本地设备（这里是树莓派）开启的服务占用的端口，前者随便设，后者需要注意配置，例如：

我希望访问8081端口来访问我的博客，那么通信端口设置8081，这个博客服务运行在树莓派的8080端口上，那么本地端口设置为8080，本地IP是树莓派的IP，通信协议使用TCP。

添加后保存即可。

ps:这里面的操作我完成得比较早，教程是写文临时找的，可能在你的电脑上有点坑，记得仔细操作不要看见命令盲目 ctrl+c/v 。

如果从路由功能比较齐全，可以打开 AP模式 的话，则可以使用两个同名WiFi在家里无缝切换相当方便。

可以给树莓派设置一个固定分配的内网IP地址，虽然一般不会变动但是一旦变动了会比较麻烦。

ssh连接可以将电脑的公钥交给树莓派实现 免密ssh登录 ，具体教程 在这里 ， windows生成公钥 教程是 这个 。

电脑可以使用vs-code安装Remote-SSH插件来方便文件操作，具体使用自行查找，挺简单的。