开发者社区> 问答> 正文

改造内部http应用,防止DDOS攻击(设计规划篇)

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

通常情况下,一些企业或组织客户会将一些内部B/S应用放到公网上,内部员工或业务人员通过客户端浏览器对业务系统进行http方式进行访问或操作。



[font=&]某企业OA系统公网登陆界面


基于某些原因,这一类内部业务系统总是很受黑客或好事者欢迎,特别是像上面这种使用未经加密进行http透明传输的,往往成为被DDOS攻击的对象。

为避免遭受DDOS攻击致使业务系统被云盾打入黑洞而中断访问,建议将相关业务进行SSL VPN 改造,大致步骤如下:

一、        新建SSL VPN 应用
1.1        购买SSL VPN原始厂商镜像服务器,通常情况下,厂商不会收费,你付的费用是ECS服务器本身的费用。

特别注意:购买时,请选择与你原http应用在同一地域的镜像ECS!

可供选择的有:
深信服 SSL / IPSec VPN镜像ECS
https://market.aliyun.com/products/56812015/cmjj007031.html

Array SSL VPN 镜像ECS
https://market.aliyun.com/products/56812015/cmjj006220.html


1.2        购买SSL VPN原始厂商 license
相关链接:

深信服 SSL / IPSec VPN license
https://market.aliyun.com/products/56812015/cmfw007765.html

Array SSL VPN license
https://market.aliyun.com/products/56812015/cmfw007482.html

1.3        激活SSL VPN原始厂商 license


二、        改造http 对应的ECS服务器
2.1        设置内网安全按规则,确保应用服务器的80端口可以被SSL VPN服务器访问
2.2        检查或调整应用服务器配置,确保该服务器的http应用可以被SSL VPN服务器访问
2.3        关闭应用服务器在公网上的80端口

三、        发布SSL VPN 内网应用
3.1        参照相关厂商说明手册进行SSL VPN配置

深信服SSL VPN快速配置文档.pdf
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2015-11-20/%E6%B7%B1%E4%BF%A1%E6%9C%8DSSL%20VPN%E5%BF%AB%E9%80%9F%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

金融云Array SSL VPN 配置文档
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2016-1/%E9%87%91%E8%9E%8D%E4%BA%91Array%20SSL%20VPN%20%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

3.2        参照相关厂商说明手册进行SSL VPN内网应用发布
3.3        授权内部用户组及权限,成功将原公网http应用转移到SSL VPN通道上进行访问

一切OK,原地址或域名上的http应用(TCP 80端口)已经全然关闭,好事者你来吧!想咬我?!

哈哈^^^

本文经宝商科技生产与技术部审核通过,原文链接:
http://www.bskj.net/%E6%94%B9%E9%80%A0%E5%86%85%E9%83%A8http%E5%BA%94%E7%94%A8%EF%BC%8C%E9%98%B2%E6%AD%A2ddos%E6%94%BB%E5%87%BB%EF%BC%88%E8%AE%BE%E8%AE%A1%E8%A7%84%E5%88%92%E7%AF%87%EF%BC%89/

联系原作者,请访问: http://www.bskj.net
宝商科技
2016-07-22

展开
收起
宝商科技 2016-07-24 23:01:39 7300 0
8 条回答
写回答
取消 提交回答
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
阿里巴巴HTTP 2.0实践及无线通信协议的演进之路 立即下载
《2019年DDoS攻击态势报告》 立即下载
CDN助力企业网站进入HTTPS时代 立即下载