「酒國英雄」,你還在等... 歐陽娜娜擠眉弄眼吃炸雞 被希臘眾神祝福的美麗小鎮 中國審查制度更上層樓 ...

iThome產品技術報簡介/舊報明細寄送本期電子報
PChome Online電子報
 
每週二∼六出刊.2018.04.21
 
本 期 目 錄 簡介/舊報明細
選對工具,幫你管好加密流量
取代Web MVC的Flux?

優惠訊息

大聲告白夢幻開發課程,還可抽 DevDays 專屬好禮!
闖關「軟絲力大挑戰」拿 DevDays Asia 2018 優惠代碼
前進吧!成為更好的自己

產品報導 

選對工具,幫你管好加密流量

面對各式網路加密流量,若不解譯,就像拿到很多黑盒子,難以分析裡面是否有壞成分,因此,能否檢測加密流量,仍是掌握網路安全的關鍵



面臨流量加密機制已普遍採用的態是,企業想要管理網路,勢必要能夠掌握這種類型的流量,後續才能加以彙整與分析。不過,由於以往加密流量應用比例並不多,利用封鎖的手段便能因應,許多企業便沒有特別採取相關的流量解析措施。

現在,若是想要轉換管理的角度,改從流量的內容監控及分析下手,企業還是要依據自身的網路環境進行評估,才能買到合適的產品。

隨著加密措施在網路流量上的應用,日漸普及,市面上的許多資安設備,包含了防火牆、IPS、網頁安全閘道等,也順應這種趨勢,內建了有關SSL流量解密的功能。

不過,企業若是因為透視流量的目的,將每一樣網路設備,全數汰換為具備相關能力的產品,往往需要花費大量的金錢,不僅資訊預算難以因應,即便採購了這些新設備上線後,極有可能因為解密耗費大量的運算資源,以及設備之間衍生的相容性等情形,對網路效能帶來極大的衝擊。

從目前現有的網路流量加解密設備來看,大致上可為兩種企業架構的型態進行區隔:若是想要與企業裡本身已建置的多種型態防護措施,互相搭配使用,那麼,經由能夠拆解流量的專屬設備,解開流量後,再複製需要檢查的特定類型流量,交給企業中現有的資安設備分析,藉此減少需逐項資安設備升級的情況,或許是較為務實,且架構上變動較少的做法。

反之,假如企業的網路架構較為單純,想要採用多功能的單臺設備,在解析流量內容之餘,兼顧檢測其中是否含有潛在的威脅,也許次世代防火牆會是一時之選。

但這兩種型態的解決方案,都各有其特色,專屬的加密流量管理(Encrypted Traffic Management,ETM)設備,基本上只負責流量的解密與加密,解開後的內容分析,企業通常要傳送到其他的資安設施檢查。

而一機多用的次世代防火牆設備,則是面臨要同時身兼流量解密與各種威脅解析的任務時,其效能負荷可能會出現吃緊的情形。

再者,若是為了找出潛藏在流量裡的威脅,企業勢必需要長期收集流量的內容,但是,加密流量管理設備本身,多半沒有保留記錄的功能,而一機多用的設備,可存放容量則是相當有限,因此,企業也應該搭配像是資安事件管理平臺(SIEM)、內部威脅分析系統(UEBA),或是端點偵測與回應系統(EDR)等解決方案,加以彙整網路流量上的事件記錄,進行長期列管,並且定期執行進階分析。

|次世代防火牆列管所有進出流量|具有多功能的次世代防火牆設備,便能同時將加密流量納入管理,並分析其中是否隱含潛在的威脅。以圖中Palo Alto的防火牆管理介面而言,在網路行為監控的儀表板上,就能看出SSL加密流量的比例,接近總流量的一半,此外,其中Gmail與YouTube網站的流量,同樣也採取了加密連線措施。圖片來源/Palo Alto

 閱讀全文
專欄 

取代Web MVC的Flux?

Spring框架推出5.0,其中包含了Web Flux,與過去我們所知的Spring Web MVC的差異是什麼?準備好接受另一套心智模型了嗎?

對Java開發者來說,2017年9月是個熱鬧的月份,非但Java SE 9、Java EE 8相繼釋出,就連Spring框架,也在這段時間發布5.0正式版。

而新版Spring的一大特色,就是Reactive Web方案Web Flux,這是用來替代Spring Web MVC的嗎?或者,只是終於可以不再基於Servlet容器了?

基於Servlet容器的Web MVC
身為Java開發者,對於Spring框架並不陌生。它最初起源於2002年、Rod Johnson著作《Expert One-on-One J2EE Design and Development》中的Interface 21框架,到了2004年,推出Spring 1.0,從XML到3.0之後,支援JavaConfig設定;進一步地,在2014年時,除了Spring 4.0之外,首次發表了Spring Boot,最大的亮點是採用自動組態,令基於Spring的快速開發成為可能。

對Web開發者來說,Spring中的Web MVC框架,也一直隨著Spring而成長,然而由於基於Servlet容器,早期被批評測試不易(例如:控制器中包含了Servlet API)。

不過,從實作Controller介面搭配XML設定,到後來的標註搭配JavaConfig,Web MVC使用越來越便利。如果願意,也可採用漸進的方式,將基於Servlet API的Web應用程式,逐步重構為幾乎沒有Servlet API的存在(可參考先前專欄文章〈篩選框架必要功能〉),在程式碼層面達到屏壁Servlet API的效果。

由於不少Java開發者的Web開發經驗,都是從Servlet容器中累積起來的,在這個時候,Web MVC框架基於Servlet API,就會是一項優點。因為,雖然運用Web MVC撰寫程式時,可做到不直接面對Servlet API,然而,也意味著更強烈地受到Spring的約束,有時則是無法在龐雜設定或API中找到對應方案,有時也因為心智模型還是掛在Servlet容器,經驗上難以脫離,在搞不出HttpSession、ServletContext對應功能時,直接從HttpSession、ServletContext下手,畢竟也是個方法。

撰寫程式時,就算沒用到Servlet API,Web MVC基於Servlet容器仍是事實,因為,底層還是得借助Servlet容器的功能,例如Spring Security,本質上還是基於Servlet容器的Filter方案。

然而在今日,Servlet被許多開發者視為陳舊、過時技術的象徵,或許是因為這樣,在Java EE 8宣布推出的這段期間,當我在某些場合談及Servlet 4.0之時,總會聽到有人提出「Web Flux可以脫離Servlet了」之類的善心建議。

 閱讀全文
前期文章 全部歷史文章
出刊日期 出刊主題
2018-04-20 【防外敵而輕內賊,終釀企業資...
2018-04-19 【透過開源軟體強化企業內部的...
2018-04-18 【想要管理網路,維持內容的透...
2018-04-17 來路不明檔案可強制過濾!AhnL...
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服中心
廣告刊登消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online



 
轉寄 iThome產品技術報 2018-04-21 這期電子報
寄件人暱稱或姓名
+
寄件人E-mail
+
收件人暱稱或姓名
+
收件人E-mail


 
/usr/home/epaper/webmama/adm/include/footer_last.htm
 
廣告刊登 消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyright© PChome Online
PChome Online and PChome are trademarks of PChome Online Inc.