一. 安全
1.硬件环境:
硬件层面:
电源 (UPS) 温度监控 机柜上锁 磁盘报警
系统层面:
更换默认SSH端口
禁止ROOT直接登录,
统一使用密钥认证方式
使用防火墙限制-->某个来源IP才能连接SSH
软件更新 内核升级 --->已运行很久系统不要升级内核
服务: mysql redis 等等
不要有公网IP地址
如果有公网IP,不要监听在0.0.0.0
一定要设定比较复杂的密码认证
web: nginx tomcat 应用层
HTTPS WAF -->web应用防火墙 (防火墙+WAF防火墙) --> http/https协议
安全宝 牛盾云 安全狗 知道创宇 阿里云
2.云环境:
系统层面:
SSH 安骑士(免费版) 云安全中心(收费版)
快照 ---> 使用快照需要购买存储空间
服务层面: redis mysql
不要有公网IP地址
如果有公网IP,不要监听在0.0.0.0
一定要设定比较复杂的密码认证
安全组(防火墙)
web层面:
HTTPS
云WAF
数据层面:
备份
异地备份
上网 --->VPC --->NAT网关 (端口映射)
云架构
高防IP --->DDOS
WAF防火墙 --->漏洞注入
HTTPS ---->防劫持 防篡改
HTTPS+WAF+负载均衡
https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.1118 6623.6.573.c85f5414Ajl83H
HTTPS+高仿IP+WAF+负载均衡
高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http
考虑安全 性能差
考虑性能 安全弱
二.Firewalld防火墙
firewalld ---> 无需网络知识 ---> 自动挡汽车 不支持花活
iptables ---> 依赖网络知识 ----> 手动挡汽车 花活
firewalld比iptables简单--->
图形界面操作 GUI 太复杂
命令行操作 CLI 简单
80 22 3306
一个网卡仅能绑定一个区域。比如: eth0-->A区域
但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2
还可以根据来源的地址设定不同的规则。比如:所有人能访问80
端口,但只有公司的IP才允许访问22端口。
2.firewalld查看处于哪个区域
.3.使用firewalld各个区域规则结合配置,调整默认public区域拒绝所 有流量,但如果来源IP是10.0.0.0/24网段则允许。 复规则实现(只需要 一个区域)
4.firewalld放行端口
5.放行服务--->对应的还是端口-->比端口看起来更清晰
6.自定义服务名称--->服务对应的端口 8080 8081 8082 -->api业务
五.firewalld实现端口转发
路由器 ---------->TPLINK
虚拟机Vmware
Nginx四层TCP/IP (类似 和lvs不一样)
Firewalld
六.Firewalld富规则
1.允许10.0.0.1主机能够访问 http服务,允许172.16.1.0/24能访问8080端 口
2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝 172.16.1.0/24网段通过ssh连接服务器*
3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主 机可以访问ssh服务
4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至 后端172.16.1.31的22端口
七.firewalld实现共享上网
在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以 此达到内部主机上网。
1.firewalld防火墙开启masquerade, 实现地址转换
2.客户端将网关指向firewalld服务器,将所有网络请求交给firewalld
3.客户端还需配置dns服务器
4.重启网络,使其配置生效
5.测试后端web的网络是否正常
firewalld共享上网方式不是特别推荐 (阿里云上如何实现---> 提交工单)
推荐:
物理环境: 使用路由器来实现上网
云环境: 推荐使用NAT网关设备
安全体系: OSI七层模型 --->
云架构 ( 高防IP + WAF防火墙 ) | 单机架构| 集群架构 |多机房 | SOA
WAF+负载均衡配置
1.配置负载均衡+多web节点
2.配置WAF ---> 指向负载均衡的公网IP地址 --->完成后会生成一个 cname的域名.
3.配置DNS 解析---> 指向WAF cname
4.配置HTTPS,请将证书传一份至WAF上, 至于负载均衡需不需要看 情况.
