虛擬主機(jī)服務(wù)器如何做好安全防護(hù)工作
我們都知道服務(wù)器主要分為三種:虛擬主機(jī)服務(wù)器、獨(dú)立服務(wù)器、云服務(wù)器。其中虛擬主機(jī)服務(wù)器是大部分中小企業(yè)的選擇,因?yàn)槌杀镜汀,F(xiàn)如今這個(gè)網(wǎng)絡(luò)環(huán)境非常復(fù)雜,網(wǎng)絡(luò)攻擊事件幾乎每天都在發(fā)生,特別是DDOS攻擊相比去年呈翻倍增長(zhǎng)趨勢(shì),所以網(wǎng)站服務(wù)器的安全性非常重要。如果安全防護(hù)工作沒有做好,極有可能被不法分子發(fā)起攻擊,對(duì)企業(yè)造成重大損失。今天墨者安全通過以往的安全案例經(jīng)驗(yàn)分析一下,虛擬主機(jī)服務(wù)器如何做好DDOS防護(hù)工作?
最直白的解釋就是提高自己的抗打能力,對(duì)虛擬主機(jī)的硬件配置進(jìn)行升級(jí),比如每秒10萬個(gè)的SYN攻擊包,服務(wù)器配置至少得要P4 2.4G/DDR512M/SCSI-HD吧。內(nèi)存一定要選擇DDR的高速內(nèi)存,還有CPU,因特爾i系列適合個(gè)人PC,服務(wù)器還是選擇至強(qiáng)系列,緩存更大,穩(wěn)定性更強(qiáng),有一些服務(wù)器專用的指令集,具有很大的數(shù)據(jù)吞吐量。
在選擇路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備時(shí),一定要選擇口碑好、品牌知名度高的產(chǎn)品,像有些路由器還自帶流量限制功能,對(duì)緩解一些小流量DDOS攻擊也能起到一定的作用的。
網(wǎng)絡(luò)帶寬直接決定了服務(wù)器的防御能力,一個(gè)10M的帶寬什么樣的安全措施也難以抵擋DDOS攻擊?,F(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境,至少也要選擇100M帶寬吧,當(dāng)然可以掛在1000M的主干線上是最好的了。需要注意的是交換機(jī)的接入帶寬,如果交換機(jī)只有支持100M帶寬,那接入1000M的主干上實(shí)際也只有100M的帶寬。
無論是路由器還是硬件防護(hù)墻設(shè)備一定要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。因?yàn)镹AT需要對(duì)地址往返轉(zhuǎn)換,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間。
定期檢測(cè)服務(wù)器系統(tǒng)更新,保持也最新狀態(tài),可以提高服務(wù)器的安全性。因?yàn)榉?wù)器每次更新都會(huì)去修復(fù)新出現(xiàn)的漏洞和BUG,避免攻擊者利用這些來發(fā)起攻擊。靜態(tài)化頁面可以大大提高抗攻擊能力,像騰訊、新浪等大型門戶網(wǎng)站都是靜態(tài)頁面。如果你非需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去,免的遭受攻擊時(shí)連累主服務(wù)器。
當(dāng)遇到DDOS攻擊時(shí),以上六條措施如果仍然不能解決DDOS問題,那說明這是一次大流量的DDOS洪水攻擊,只能接入像墨者安全這樣專業(yè)的防DDOS高防服務(wù),通過最新指紋識(shí)別系統(tǒng)對(duì)惡意攻擊流量進(jìn)行流量清洗,過濾極端變種、穿盾、模擬等異常攻擊行為。