我是“网络极客”快速备案快速备案,全新视角CDN防御、全新思路,带你遨游神奇的网络世界。cdn防御,企业网站面临的网络攻击风险越来越大,如何有效避免信息安全日益严重的今天,企业网站面临的网络攻击是你我都无法避免的问题。这不Facebook因为数据泄密,涉及用户远超8700万人。那么,该如何有效避免或杜绝该类信息风险呢?我们就来聊聊网站安全这些事。企业规模一、中小型企业具有建站需求,却不具备建站的实力。包括建立IDC机房、服务器搭建、配备专业维护人员等等,当上述基础条件都不具备,应该如何解决呢?1.租用专业的虚拟云运营商,将机房及线路安全交给更加专业的公司来负责;2.定期更新系统,完成系统补丁、漏洞升级;3.关闭服务器非必须端口,建立系统操作日志;4.删除系统默认管理员账号,重新建立;5.定期对网站进行升级、常用的管理页面路径、超级管理员账号、密码均需要定期更改。二、大型企业大型企业,就涉及到自己建站、运维等。除了上述的操作外,还需要从哪些方面考虑呢?1.组网方式,是否满足安全需要。操作系统数据出入端口是否接入防火墙,并根据环境进行了配置。2.机房安全,是否满足网站服务器安全需要。包括消防、电源、温度、粉尘等。3.人员管控,是否建立服务器管理制度,各级人员权限、服务器账号管理、操作登记等。上面,是针对企业网站安全的一点建议。欢迎大家留言讨论,喜欢的话点点关注哦。在运营过程中,可能遇到各种突发情况,如黑客攻击、系统缓慢等问题。 作为合格的运营人员,针对这些问题都得有所准备,下面我们简单介绍下处理方法。1、网站打开慢网站打开慢主要从网络、硬件、程序、系统等方面考虑。首先确保服务器带宽充足,带宽不充足会严重影响网站打开速度。如果不方便增加带宽,可以使用CDN,减少服务器的带宽消耗。如果服务器CPU、IO和内存负载一直很高,请及时更换硬件,硬盘最好使用固态硬盘,IO性能远超机械硬盘。程序的优异很大程度决定了网站运行速度,这方面需要程序员有足够的优化经验,本文不做探讨。如果网站流量非常大,更换了最好的硬件,性能还是不足,就只有从程序结构方面考虑,使用分布式,无限扩展性能。对于流量不是非常大的网站,有可能是系统存在问题,可以通过技术优化手段,提升一定的服务器性能,具体优化方法请咨询护卫神技术工程师。2、攻击防护攻击不同于入侵,它是使用外部暴力手段,让服务器和网站无法正常运行。常规的攻击可分两类:DDOS流量攻击、CC攻击。DDOS流量攻击包含syn、ack、icmp、udp等攻击,是向服务器发送大量数据包,让服务器带宽、连接数枯竭。此类攻击比较好防护,需要有硬件防火墙和充足的带宽。不过一般都是购买第三方高防服务来解决,如“群联高防定制版DDOS攻击防护服务 ”。CC攻击是模拟用户访问网站,让服务器带宽、CPU、内存、连接数等各种资源都枯竭。防御起来比较麻烦,需要从程序、CDN、硬防等综合防御。硬件防火墙防御CC攻击最多有90%的拦截率,而同时会产生非常大的副作用,部分正常用户也会被拦截。如果CC攻击的静态页面,只需要开启CDN,就能100%有效抵御攻击。如果CC攻击的动态页面,除了硬件防火墙,还应该在程序上做防护措施,如将被攻击页面输出为最少的内容,且不做任何逻辑运算,减少CPU和带宽消耗。我猜的,可能只需要0.56元电费。这0.56元电费就是我看着别人通过DDoS攻击服务器时候电脑所耗费的电。通常来讲我并不关心DDoS能攻击多久,也不关心如何防御。因为对于小企业来讲防御的成本太高了。所以对于频发DDoS攻击的用户来讲建议在平台上线之初就购买高防服务器,做好相关架构设计。不要等真正攻击来的时候临时防御。架构上就是把真实服务器IP隐藏掉,比如前置CDN、负载均衡之类这样一般技术不高的黑客只能攻击到节点的位置,算了,不写了,百度一下啥都知道。提前防御比临时防御能大大降低成本,减少损失。什么是CC攻击?CC攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求(通常使用)。CC(Challenge Collapsar,挑战黑洞)根据其工具命名,攻击者创造性地使用代理机制,利用众多广泛可用的免费代理服务器(即肉鸡)发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。 虽然用limit_req_module可以在一定程度上的防御CC攻击,但是有误杀概率;国内宽带用户的IP地址已经大量内网化,几百人共享一个IP的可能性是很大的。 做基于IP的频率限制,误杀的概率确实非常大。在国内,一个小区、一个公司经常会遇到共用IP的情况,而移动网络共用基站的设备更是容易出现相同的公网IP。 墨菲定律第一条就是:任何事物都没有表面看起来那么简单。何况这个看起来一点都不简单,怎么可能只用IP频率限制这一种手段呢? 对于CC攻击,其防御必须联合采取多种手段,而这些手段本质上也是在提高服务器的并发能力。1、服务器垂直扩展和水平扩容 资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了对CC攻击的承载能力。•垂直扩展:是指增加每台服务器的硬件能力,如升级CPU,增加内存,升级SSD固态硬盘等。•水平扩容: 是指通过增加提供服务的服务器来提升承载力。 上述扩展和扩容可以在服务的各个层级进行,包括:应用服务器、数据库服务器、缓存服务器等等。 2、数据缓存(内存级别,不要用文件) 对于服务中具备高度共性,多用户可重用,或单用户多次可重用的数据,一旦从数据库中检索出,或通过计算得出后,最好将其放在缓存中。 后续请求均可直接从缓存中取得数据,减轻数据库的检索压力和应用服务器的计算压力,并且能够快速返回结果并释放进程,从而也能缓解服务器的内存压力。需要注意的是,缓存不要使用文件形式,可以使用redis、memcached等基于内存的no sql缓存服务,并且与应用服务器分离,单独部署在局域网内。局域网内的网络IO肯定比起磁盘IO要高。当然,为了不使局域网带宽成为瓶颈,千兆网络也是有必要的。3、 页面静态化与数据缓存一样,页面数据本质上也属于数据,常见的手段是生成静态化的html页面文件,利用客户端浏览器的缓存功能或者服务端的缓存服务,以及CDN节点的缓冲服务,均可以降低服务器端的数据检索和计算压力,快速相应结果并释放连接进程。4、用户级别的调用频率限制 不管服务是有登陆态还是没登陆态,基于session等方式都可以为客户端分配唯一的识别ID(后称作SID),服务端可以将SID存到缓存中。 客户端请求服务时,如果没有带SID(cookie中或请求参数中等),则由服务端快速分配一个并返回。 可以的话,本次请求可以不返回数据,或者将分配SID独立出业务服务。当客户端请求时带了合法SID(即SID能在服务端缓存中匹配到),便可以依据SID对客户端进行频率限制。而对于SID非法的请求,则直接拒绝服务。 相比根据IP进行的频率限制,根据SID的频率限制更加精准可控,最大程度的避免误杀的情况。5、IP限制最后,IP限制依然可以结合上述规则一起使用,但是可以将其前置到外层的防火墙或负载均衡器上去做。 并且可以调大限制的阈值(结合历史统计数量,预测一个极端的访问量阈值,在服务器可承受的范围内,尽量避免误伤),防止恶意访问穿透到应用服务器上,造成应用服务器压力。 泾溪石险人兢慎,终岁不闻倾覆人。却是平流无石处,时时闻说有沈沦。——杜荀鹤《泾溪》如果觉得我的文章对你有帮助,请帮忙点个赞,谢谢了。
本文出自快速备案,转载时请注明出处及相应链接。