一. 安全?

1.硬件環(huán)境:

????硬件層面:?

????電源 (UPS) 溫度監(jiān)控 機(jī)柜上鎖 磁盤報(bào)警?

????系統(tǒng)層面:

?????????更換默認(rèn)SSH端口?

????????禁止ROOT直接登錄,

????????統(tǒng)一使用密鑰認(rèn)證方式?

????????使用防火墻限制-->某個(gè)來源IP才能連接SSH?

????????軟件更新 內(nèi)核升級 --->已運(yùn)行很久系統(tǒng)不要升級內(nèi)核

? ??服務(wù): mysql redis 等等

? ??????不要有公網(wǎng)IP地址

? ??????如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0

? ??????一定要設(shè)定比較復(fù)雜的密碼認(rèn)證

web: nginx tomcat 應(yīng)用層

????HTTPS WAF -->web應(yīng)用防火墻 (防火墻+WAF防火墻) --> http/https協(xié)議

? ??????安全寶 牛盾云 安全狗 知道創(chuàng)宇 阿里云

2.云環(huán)境:

系統(tǒng)層面:?

????SSH 安騎士(免費(fèi)版) 云安全中心(收費(fèi)版)?

? ? ?快照 ---> 使用快照需要購買存儲空間

服務(wù)層面: redis mysql

? ??不要有公網(wǎng)IP地址?

????如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0?

????一定要設(shè)定比較復(fù)雜的密碼認(rèn)證

?????安全組(防火墻)

web層面:

? ??HTTPS?

????云WAF

數(shù)據(jù)層面:

????備份?

????異地備份

上網(wǎng) --->VPC --->NAT網(wǎng)關(guān) (端口映射)

云架構(gòu)

? ??高防IP --->DDOS?

????WAF防火墻 --->漏洞注入?

????HTTPS ---->防劫持 防篡改

HTTPS+WAF+負(fù)載均衡

https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.1118 6623.6.573.c85f5414Ajl83H

HTTPS+高仿IP+WAF+負(fù)載均衡

高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http

考慮安全 性能差

考慮性能 安全弱

二.Firewalld防火墻

firewalld ---> 無需網(wǎng)絡(luò)知識 ---> 自動擋汽車 不支持花活

iptables ---> 依賴網(wǎng)絡(luò)知識 ----> 手動擋汽車 花活

firewalld比iptables簡單--->

? ??圖形界面操作 GUI 太復(fù)雜

? ??命令行操作 CLI 簡單

80 22 3306

一個(gè)網(wǎng)卡僅能綁定一個(gè)區(qū)域剥纷。比如: eth0-->A區(qū)域

但一個(gè)區(qū)域可以綁定多個(gè)網(wǎng)卡逮壁。比如: B區(qū)域-->eth0感耙、eth1吟孙、eth2

還可以根據(jù)來源的地址設(shè)定不同的規(guī)則固额。比如：所有人能訪問80

端口急侥，但只有公司的IP才允許訪問22端口募壕。

2.firewalld查看處于哪個(gè)區(qū)域

.3.使用firewalld各個(gè)區(qū)域規(guī)則結(jié)合配置绽昼，調(diào)整默認(rèn)public區(qū)域拒絕所 有流量芭商，但如果來源IP是10.0.0.0/24網(wǎng)段則允許派草。 復(fù)規(guī)則實(shí)現(xiàn)(只需要 一個(gè)區(qū)域)

4.firewalld放行端口

5.放行服務(wù)--->對應(yīng)的還是端口-->比端口看起來更清晰

6.自定義服務(wù)名稱--->服務(wù)對應(yīng)的端口 8080 8081 8082 -->api業(yè)務(wù)

五.firewalld實(shí)現(xiàn)端口轉(zhuǎn)發(fā)

路由器 ---------->TPLINK

虛擬機(jī)Vmware

Nginx四層TCP/IP (類似 和lvs不一樣)

Firewalld

六.Firewalld富規(guī)則

1.允許10.0.0.1主機(jī)能夠訪問 http服務(wù)，允許172.16.1.0/24能訪問8080端 口

2.默認(rèn)public區(qū)域?qū)ν忾_放所有人能通過ssh服務(wù)連接铛楣，但拒絕 172.16.1.0/24網(wǎng)段通過ssh連接服務(wù)器*

3.使用firewalld近迁，允許所有人能訪問http,https服務(wù)，但只有10.0.0.1主 機(jī)可以訪問ssh服務(wù)

4.當(dāng)用戶來源IP地址是10.0.0.1主機(jī)簸州，則將用戶請求的5555端口轉(zhuǎn)發(fā)至 后端172.16.1.31的22端口

七.firewalld實(shí)現(xiàn)共享上網(wǎng)

在指定的帶有公網(wǎng)IP的實(shí)例上啟動Firewalld防火墻的NAT地址轉(zhuǎn)換鉴竭，以 此達(dá)到內(nèi)部主機(jī)上網(wǎng)。

1.firewalld防火墻開啟masquerade, 實(shí)現(xiàn)地址轉(zhuǎn)換

? ??

2.客戶端將網(wǎng)關(guān)指向firewalld服務(wù)器岸浑，將所有網(wǎng)絡(luò)請求交給firewalld

3.客戶端還需配置dns服務(wù)器

4.重啟網(wǎng)絡(luò)搏存，使其配置生效

5.測試后端web的網(wǎng)絡(luò)是否正常

firewalld共享上網(wǎng)方式不是特別推薦 (阿里云上如何實(shí)現(xiàn)---> 提交工單)

推薦:

物理環(huán)境: 使用路由器來實(shí)現(xiàn)上網(wǎng)

云環(huán)境: 推薦使用NAT網(wǎng)關(guān)設(shè)備

安全體系: OSI七層模型 --->

云架構(gòu) ( 高防IP + WAF防火墻 ) | 單機(jī)架構(gòu)| 集群架構(gòu) |多機(jī)房 | SOA

WAF+負(fù)載均衡配置

1.配置負(fù)載均衡+多web節(jié)點(diǎn)?

2.配置WAF ---> 指向負(fù)載均衡的公網(wǎng)IP地址 --->完成后會生成一個(gè) cname的域名.

3.配置DNS 解析---> 指向WAF cname?

4.配置HTTPS,請將證書傳一份至WAF上, 至于負(fù)載均衡需不需要看 情況.