IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

安全宝构架技术猜测与高级网络安全防御

发布时间:2015-08-25 09:50文章来源:文章作者: 点击次数:
IT学习网是国内以普及黑客攻防的学习技术资料网站,本站历经长期发展已深得广大黑客技术爱好者的好评和喜爱,为您提供从基础到高端的信息技术学习平台,我们也努力将IT学习网做的更好!

时代在变,人也在变,在机器智能人还没完全发展的今天,我们先“智能点”,懒点!回想那日日夜夜为了,,网站速度,放在那里,而想白了头,做穿了椅子。。。。。其实大家不用各自为战,所有安全人员团结起来,把所有的技术,所有的资源同一起来,组成安全联盟,一次性解决所有的安全为题,什么注入,,溢出,都是浮云。。。

   最近忙于网站开发,好久没写文章了,可是最近看到国内的dnspod和安全宝合作了,很是高兴,终于出现了一个免费的安全联盟。。。其实如有大家有资源带宽和机子可以搭建一个安全小圈子,把安全人员,开发人员分开来,统一管理,入伙自己的安全小圈圈,下面就是对安全宝构架的技术猜测,支持安全宝,支持开源世界,/bsd万岁,nginx万岁!!

\

   以上是一个简单的防御模型,下面讲解下各种功能:

1,总部核心调度节点负责,修改DNS记录,根据不同的ip geoip不同的后台cdn安全节点,负责用户的注册,添加网站真实IP,并把最后的设置同步到各个地方节点的nginx 上

 

2,地方节点nginx 负责网站(可以多IPupstream 10秒超时 haship)的方向代理,nginx缓存,加上naxsi 开源可学习型web防护墙(用于对付,cc,攻击等应用层web防护) 加上最近才出来的nginx_pagespeed模块进行智能优化压缩网页。。。

 

3,用于最基础的网络防御,iptables防御 ipset超时block控制,并发,tcpflags 状态控制

 

总结起来:对于普通用户估计只用到了nginx 方向代理 开源nginx_waf naxsi防护墙 netfilter防护墙或者购买的ciso华为专业 nginx缓存cdn  以及对于nginx还处于测试阶段的pagespeed模块。。。很简单,不过对付一般的,还是够的!

 

   好了,光有以上防御我们就安全了吗?差远了!!

 

1,原始和安全宝的cnd安全节点估计没有启用高级溢出防御系统

 

2,网站数据完整性安全和备份功能没有,或者备份了没有加密

 

3,是否真的能防御头疼的。。。没有采取根本的防御措施

 

4,基本上只是对站点进行了防御,我们的ssh,谁去管

 

5,所在的xen,kvm环境谁去管,假如有要求保密的,人家cp一份xen镜像,挂在在别的系统上,秘密全无!!!!

 

6,入侵的行为分析,是个空白,安全宝无法帮我们开启强制访问安全

 

7,没有任何网络入侵检测系统监控,发生网络入侵只能被动的去防御,我们难道要24小时监控自己的网站!!

 

8,我们的原始安全宝没有给我们优化。。。

 

    怎么办呢!!!!!!!!!!

 

1,在cdn节点(如果cdn不安全了,人家直接修改cnd中的缓存!!我们的网站不是躺着中枪了啊)还有原始开启高级安全防御系统 grsecurity 打入pax防溢出加固补丁,使用paxctl -PEMXSR最高安全加固nginx apache sshd等,防止未知漏洞,或者直接采用openbsd,从 libc编译库防止溢出漏洞。反正一般的xen kvm 站点根本不需要那么高的性能,带宽能上10M谢天谢地了!

 

2,对网站或者后天自定义md5 sha1文件签名,或者使用ade  Tripwire等。同事定期备份所有重要数据

 

3,不要使用msql postgresql,直接采用NOSql构架,redis彻底防御,省的php过滤这个过滤那个,本来php字符性能就低!抛弃 apache,充分研究透nginx if allow dengy lua安全应用,构建比nasix更严格的访问控制,免费的应用层哦,比iptables-l7lay ,等方便多了,省的去研究编写特征吗,mygod!!什么流控,p2p,迅雷特诊吗头大了好多年了!!

 

4,请查看最高安全防御策略选择与差异,分层纵深防御,一切入侵都是浮云 等文章对系统进行基本的伪装加固

 

5,启用lvm加密卷或者ecrypt文件系统,对重要数据存放分区经行加密,非常有必要!

 

6,没有必要请使用debian/ubuntu系统,可以大规模定制所有的MAC安全,内核等,grsecurty tomoyo apparom都是比selinux容易学习的,虽然说是基与文件路径的不安全,可是谁又能保证se的标签不会被更改呢!!定制精简内核也很重要关闭所有的无用驱动,模块,控制内核在1.8M以内!

 

7,如果是单独的有专用请开启科莱全网分析监控,或者suricata snort等老一代IDS/IPS

    最起码你要开启portsentry监控下。。看看谁在黑你,好采取相应的防御方法

 

8,系统的sysctl优化,编译优化,就不谈了,老生长谈的。。。

 

9,注意一点就是,定制内核的时候不要光定制一个内核版本,应该是2+1 一个原始发行版内核,防止意外 一个是3.2.44稳定版 一个是3.9最新版,防止重大的内核漏洞,切换用!!

 

     最后就是对系统的测试了,请使用所有web安测试软件,攻击软件,360等。。。最少10种把攻击入侵自己的网站!(小心使用别误杀了别人)   好了,技术无极限,生命有尽头,希望大家多多交流,共同进步


安全宝构架技术猜测与高级网络安全防御
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/safesoft/28163.html

标签分类:

上一篇:上一篇:mcafee免费版企业级杀毒软件希望云安全使用报告
下一篇: 下一篇:腾讯反病毒实验室:深度解析AppContainer工作机制
无觅关联推荐,快速提升流量