阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4657阅读
  • 5回复

[解决方案]改造内部http应用,防止DDOS攻击(设计规划篇)

级别: 论坛版主
发帖
1030
云币
855
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。 d1=kHU4_9  
k!/"J ;  
通常情况下,一些企业或组织客户会将一些内部B/S应用放到公网上,内部员工或业务人员通过客户端浏览器对业务系统进行http方式进行访问或操作 r[P5 ufy2]  
XwlA W7lU=  
zu6Y*{$>g  
[font=&amp]某企业OA系统公网登陆界面
h> K~<BAz'  
K]mR9$/  
基于某些原因,这一类内部业务系统总是很受黑客或好事者欢迎,特别是像上面这种使用未经加密进行http透明传输的,往往成为被DDOS攻击的对象。 z6B(}(D  
'jv[Gcss3L  
为避免遭受DDOS攻击致使业务系统被云盾打入黑洞而中断访问,建议将相关业务进行SSL VPN 改造,大致步骤如下: ~T<yp  
4z~ fn9g  
一、        新建SSL VPN 应用 }t4?*:\  
1.1        购买SSL VPN原始厂商镜像服务器,通常情况下,厂商不会收费,你付的费用是ECS服务器本身的费用。 sS$"6  
n[zP}YRr  
特别注意:购买时,请选择与你原http应用在同一地域的镜像ECS! \k?uh+xl  
&Nx'Nq9y  
可供选择的有: 3JuWG\r)l  
深信服 SSL / IPSec VPN镜像ECS r81YL  
https://market.aliyun.com/products/56812015/cmjj007031.html LQVa,'  
!mFx= +  
Array SSL VPN 镜像ECS *%JncK '  
https://market.aliyun.com/products/56812015/cmjj006220.html S4RvWTtQV  
q'kZ3 G   
]w!gv /;  
1.2        购买SSL VPN原始厂商 license 3e UTV<!  
相关链接: r3X|*/  
2UYtFWB9o  
深信服 SSL / IPSec VPN license !,}W|(P)  
https://market.aliyun.com/products/56812015/cmfw007765.html w3lR8R]  
D[.; H)V  
Array SSL VPN license %x_c2  
https://market.aliyun.com/products/56812015/cmfw007482.html FC.d]XA%/d  
!a&@y#x  
1.3        激活SSL VPN原始厂商 license %1Gat6V<'  
HC,YmO:df"  
,: X+NQ  
二、        改造http 对应的ECS服务器 a/ !!Y@7  
2.1        设置内网安全按规则,确保应用服务器的80端口可以被SSL VPN服务器访问 %AbA(F  
2.2        检查或调整应用服务器配置,确保该服务器的http应用可以被SSL VPN服务器访问 ]PVPt,c  
2.3        关闭应用服务器在公网上的80端口 ne nYP0  
uSSnr#i^j  
三、        发布SSL VPN 内网应用 \tFg10  
3.1        参照相关厂商说明手册进行SSL VPN配置 reml|!F-)  
5p6Kq=jhb  
深信服SSL VPN快速配置文档.pdf j&(2ze:=*$  
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2015-11-20/%E6%B7%B1%E4%BF%A1%E6%9C%8DSSL%20VPN%E5%BF%AB%E9%80%9F%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf JlAUie8  
t59" [kQ  
金融云Array SSL VPN 配置文档 %V-\|cw   
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2016-1/%E9%87%91%E8%9E%8D%E4%BA%91Array%20SSL%20VPN%20%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf K @3 yS8F  
ZN!OM)@:!  
3.2        参照相关厂商说明手册进行SSL VPN内网应用发布 ZbTU1Y/'   
3.3        授权内部用户组及权限,成功将原公网http应用转移到SSL VPN通道上进行访问 j`I[M6Qxh  
fII;t-(x  
一切OK,原地址或域名上的http应用(TCP 80端口)已经全然关闭,好事者你来吧!想咬我?! &Im{p7gf!b  
Vm.&JVb  
哈哈^^^ BCB"& :}  
~S}>|q$  
本文经宝商科技生产与技术部审核通过,原文链接: xlVQ[Mt  
http://www.bskj.net/%E6%94%B9%E9%80%A0%E5%86%85%E9%83%A8http%E5%BA%94%E7%94%A8%EF%BC%8C%E9%98%B2%E6%AD%A2ddos%E6%94%BB%E5%87%BB%EF%BC%88%E8%AE%BE%E8%AE%A1%E8%A7%84%E5%88%92%E7%AF%87%EF%BC%89/ kYBTmz} z  
c;_GZ}8  
联系原作者,请访问:http://www.bskj.net _+0l+a*D  
宝商科技 Ju$=Tn  
2016-07-22 fq/F| c  
Q\G8R^9j p  
[ 此帖被宝商科技在2016-07-24 23:02重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +5
linanxiaoxiao 云币 +5 不错,好文,帮你推荐一下 2016-07-27
免费提供阿里云各类产品及服务相关技术/非技术问题咨询
级别: 论坛版主
发帖
3414
云币
8980

只看该作者 沙发  发表于: 2016-07-26
网站 图片貌似挂了 都看不到
级别: 论坛版主
发帖
1030
云币
855
只看该作者 板凳  发表于: 2016-07-26
听说最近论坛CDN有问题啊,我的可以访问
免费提供阿里云各类产品及服务相关技术/非技术问题咨询
级别: 论坛版主
发帖
1784
云币
3327

只看该作者 地板  发表于: 2016-07-27
回 2楼(宝商科技) 的帖子
阿黑哥啊,再编辑一下啊,帖子好乱!
本人不是云栖社区工作人员。
无论您在使用中遇到什么问题,不要出言不逊!谢谢合作!
级别: 管理员
发帖
759
云币
1687
只看该作者 4楼 发表于: 2016-07-27
不错,好文,帮你推荐一下
级别: 新人
发帖
2
云币
4
只看该作者 5楼 发表于: 2016-07-29
Re改造内部http应用,防止DDOS攻击(设计规划篇)
看不懂,这是干什么用的?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)