改造内部http应用,防止DDOS攻击(设计规划篇)-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

改造内部http应用,防止DDOS攻击(设计规划篇)

宝商科技 2016-07-24 23:01:39 4977
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

通常情况下,一些企业或组织客户会将一些内部B/S应用放到公网上,内部员工或业务人员通过客户端浏览器对业务系统进行http方式进行访问或操作。


[font=&]某企业OA系统公网登陆界面


基于某些原因,这一类内部业务系统总是很受黑客或好事者欢迎,特别是像上面这种使用未经加密进行http透明传输的,往往成为被DDOS攻击的对象。

为避免遭受DDOS攻击致使业务系统被云盾打入黑洞而中断访问,建议将相关业务进行SSL VPN 改造,大致步骤如下:

一、        新建SSL VPN 应用
1.1        购买SSL VPN原始厂商镜像服务器,通常情况下,厂商不会收费,你付的费用是ECS服务器本身的费用。

特别注意:购买时,请选择与你原http应用在同一地域的镜像ECS!

可供选择的有:
深信服 SSL / IPSec VPN镜像ECS
https://market.aliyun.com/products/56812015/cmjj007031.html

Array SSL VPN 镜像ECS
https://market.aliyun.com/products/56812015/cmjj006220.html


1.2        购买SSL VPN原始厂商 license
相关链接:

深信服 SSL / IPSec VPN license
https://market.aliyun.com/products/56812015/cmfw007765.html

Array SSL VPN license
https://market.aliyun.com/products/56812015/cmfw007482.html

1.3        激活SSL VPN原始厂商 license


二、        改造http 对应的ECS服务器
2.1        设置内网安全按规则,确保应用服务器的80端口可以被SSL VPN服务器访问
2.2        检查或调整应用服务器配置,确保该服务器的http应用可以被SSL VPN服务器访问
2.3        关闭应用服务器在公网上的80端口

三、        发布SSL VPN 内网应用
3.1        参照相关厂商说明手册进行SSL VPN配置

深信服SSL VPN快速配置文档.pdf
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2015-11-20/%E6%B7%B1%E4%BF%A1%E6%9C%8DSSL%20VPN%E5%BF%AB%E9%80%9F%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

金融云Array SSL VPN 配置文档
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2016-1/%E9%87%91%E8%9E%8D%E4%BA%91Array%20SSL%20VPN%20%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

3.2        参照相关厂商说明手册进行SSL VPN内网应用发布
3.3        授权内部用户组及权限,成功将原公网http应用转移到SSL VPN通道上进行访问

一切OK,原地址或域名上的http应用(TCP 80端口)已经全然关闭,好事者你来吧!想咬我?!

哈哈^^^

本文经宝商科技生产与技术部审核通过,原文链接:
http://www.bskj.net/%E6%94%B9%E9%80%A0%E5%86%85%E9%83%A8http%E5%BA%94%E7%94%A8%EF%BC%8C%E9%98%B2%E6%AD%A2ddos%E6%94%BB%E5%87%BB%EF%BC%88%E8%AE%BE%E8%AE%A1%E8%A7%84%E5%88%92%E7%AF%87%EF%BC%89/

联系原作者,请访问: http://www.bskj.net
宝商科技
2016-07-22

弹性计算 网络协议 安全 应用服务中间件 网络安全 网络虚拟化 数据安全/隐私保护
分享到
取消 提交回答
全部回答(5)
  • 阿李受害者
    2016-07-29 00:13:24
    Re改造内部http应用,防止DDOS攻击(设计规划篇)
    看不懂,这是干什么用的?
    0 0
  • 聚小编
    2016-07-27 13:56:17
    不错,好文,帮你推荐一下
    0 0
  • 鬼才神兵
    2016-07-27 00:45:56
    回 2楼(宝商科技) 的帖子
    阿黑哥啊,再编辑一下啊,帖子好乱!
    0 0
  • 宝商科技
    2016-07-26 22:54:55
    听说最近论坛CDN有问题啊,我的可以访问
    0 0
  • 小柒2012
    2016-07-26 21:26:04
    网站 图片貌似挂了 都看不到
    0 0
添加回答
+ 订阅

云安全开发者的大本营

推荐文章
相似问题