来自 资讯 2021-07-18 06:19 的文章

高防ddos_香港高防服务_方法

服务器移到防火墙之外,可能会使其面临其他风险。考虑到这一点,许多研究已经确定缺乏外围安全性是公共云采用的最大障碍之一,这就不足为奇了。但是,如果移动到云端不再是失去周界的同义词呢?如果您可以在所有服务器周围构建一个等效的保护屏障,而不管其位置如何,都通过一个单一的接口来实现呢?在这篇博客文章中,我将解释如何使用Halo NetSec实现这一点。确定需求图1显示了一个典型的内部网络,其中DMZ服务器部署为IaaS实例。假设我们希望能够根据需要将这些服务器突发到多个公共云提供商。让我们进一步假设我们希望保持同等级别的外围安全性,防御cc,并将执行此任务所需的管理量降至最低。让我们首先确定防火墙为DMZ提供的风险缓解技术。这将为我们提供一个在我们开始尝试在公共云中构建同等安全性时必须满足的需求列表。防火墙通过以下方式保护DMZ:1.将互联网曝光限制在我们希望公开访问的服务上-在这个例子中,我们假设2.限制从DMZ到修补程序服务器的出站访问-如果攻击者发现漏洞,这将阻止Rootkit传输3.限制获得行政服务-在本例中,ddos防御能放cc吗,我们假设SSH用于管理服务器4.如果管理员远程工作,则提供第二级身份验证-提供操作系统登录之外的其他身份验证5.对管理服务器的人进行审计跟踪-职责分离要求管理员不能修改此数据6.中央接口,用于控制进出所有服务器的所有流量,而不考虑位置-简化的安全性减少了人为错误因此,为了在公共云中构建等效的安全性,我们需要能够匹配这六种风险缓解技术。否则,可能会增加服务器的风险敞口。背景信息,如果你需要的话在本文中,我假设您已经熟悉使用Halo。如果没有,我强烈建议您查看《光环入门》视频,以及光环防火墙概述。每一段视频都不超过5分钟,可以让你快速掌握基本知识。我将以此作为我们如何满足六个要求的起点。满足要求1和2满足前两个要求只需正确构建Halo防火墙策略即可。如图2所示。我们限制了对HTTP和HTTPS的入站访问,这两种服务都是由每个Web服务器提供的。这是我们唯一允许未经验证的互联网来源的入站访问。至于出站流量,我们也限制了对HTTP和HTTPS的访问,它们用于与修补服务器通信。注意,在出站规则中,我们还将目的地限制为修补服务器的目的地。这样,如果攻击者发现漏洞,他们就不能利用出站HTTP或HTTPS下载他们的工具包。这有助于最大限度地减少攻击者可能造成的损害。请注意,上面的防火墙策略看起来可能与您习惯的有所不同。这是因为入站规则没有定义目的地,出站规则也没有定义源。防火墙策略将直接应用于要保护的每个Web服务器,因此不需要指定这些端点。因此,对于入站流量,假设Web服务器是目标。对于出站流量,假定Web服务器是源。这有助于最小化规则的复杂性。请注意,这种结构还允许我们的防火墙规则具有灵活性和可移植性。例如,如果入站规则中指定了目标IP,那么如果服务器更改IP地址或移动到另一个云,会发生什么情况?如果明确定义了目标IP,那么作为更改的一部分,我们显然必须手动更新防火墙规则。由于Halo可以检测到本地IP地址并相应地进行调整,因此可以利用相同的防火墙策略,而不考虑虚拟位置。无论在何处初始化服务器,都将应用相同的防火墙策略。这使得我们能够在私有和公共环境中满足前两个需求。满足要求3和4接下来的两个要求围绕限制管理员访问展开。具体来说,我们需要确保只有经过身份验证的管理员才能尝试访问受保护的服务器。为了满足这个需求,我们将利用Halo的GhostPorts特性。GhostPorts通过一次性密码设备提供第二级身份验证。如果您不熟悉GhostPorts,请查看视频GhostPorts概述。这段三分钟的视频会让你快速跟上节奏。接下来,我们需要修改防火墙策略,以允许经过身份验证的管理员进行访问。如图3所示。注意入站策略中有两个新规则。这些规则允许每个指定的管理员访问SSH端口。Halo GhostPorts的一个优点是,在用户进行身份验证之前,端口是不可见的。例如,如果我要对其中一个Web服务器进行端口扫描,那么似乎只有HTTP和HTTPS端口是打开的并在侦听。直到我通过GhostPorts进行了正确的身份验证之后,我的源IP地址(而且只有我的源IP地址)才能看到SSH也是打开的。请注意,GhostPorts只是使SSH端口可见。我仍然需要能够通过实现的任何机制(登录名和密码、公钥/私钥等)正确地对SSH服务器进行身份验证。因此,通过添加这两个规则,我们可以成功地满足需求3和4。管理员审计跟踪-要求5我们的第五个要求是所有到服务器的管理会话都要被记录。此外,需要以这样一种方式记录会话,这样管理员就不能乱动数据。这是一个严重的问题,因为任何具有高级服务器访问权限的人通常都可以更改身份验证审核跟踪。例如,假设我不想让任何人知道我是在今天凌晨3:00登录到服务器的。通常这是一个简单的问题,或者重新登录到服务器并删除与该会话相关的所有日志条目。如果我们希望保持适当的职责分离,防御DDOS的方法,我们需要确保管理员不能修改审计跟踪。幸运的是光环也能帮上忙。如果您有一个单独的审核组,则可以将它们配置为每当管理员通过GhostPorts进行身份验证时接收电子邮件通知。图4显示了一个示例。请注意,时间戳引用UTC。Halo还保存安全事件发生时的运行日志。这可以通过登录您的Halo帐户,从主菜单选择"服务器",然后从下拉菜单中选择"安全事件历史记录"来访问。图5显示了一个示例。请注意,我甚至可以过滤输出,以便只查看我当前感兴趣的事件。由于所有安全事件数据都存储在Halo网格中,因此管理员无法删除任何条目。这提供了一个比本地主机日志条目更可靠的审计跟踪。考虑到这一点,我们已经成功地满足了第5项要求。简化实施-要求6我们的最终需求是一个统一的接口,可以管理入站和出站流量,而不管服务器位于何处。换句话说,我们需要一个单一的防火墙规则管理窗格,而不管服务器当前是位于公共云供应商"a"、公共云供应商"B"上,还是位于私有IaaS环境中。请注意,在我们创建上述防火墙规则时,我们从不需要标识服务器的当前位置。我们的防火墙策略是独立于位置的,这意味着我们可以在所有可能的环境中提供一致性。将服务器从一个位置移动到另一个位置,并实施相同的防火墙策略。通过一个单一的接口,我们能够成功地管理防火墙策略,而不管vm是现在还是将来在哪里执行。给你。所有六个要求都满足了,不需要禁止突发或服务器迁移。通过利用Halo NetSec,我们能够定义一个可以跨越多个云产品的逻辑边界。顺便说一句,Halo-Pro可以提供相同的功能,但也包括通过验证每个服务器的配置、验证修补程序级别以及监视系统是否有入侵来降低风险。因此,阿里云cc防御软件,如果您需要在公共空间中保护服务器,而不仅仅是一个简单的外围设备,传奇防御cc攻击,那么您也可以在这里找到一条前进的道路。有什么问题吗?请随时在评论区发帖!