分类:云服务器运维

凯铧互联专业提供云服务器运维服务。上云服务,渗透测试,渗透测试服务,服务器渗透测试,网站渗透测试,云服务器迁移,阿里云服务器迁移,腾讯云服务器迁移,华为云服务器迁移,不同地域服务器迁移,服务器数据迁移,上云迁移服务,apm,应用监控,apm应用监控,阿里云apm,服务器安全,数据库安全,网络安全,安全加固,云安全,安全外包服务,数据库运维,数据库维护,数据库调优,数据库优化,数据库运维服务,数据库运维外包,数据库技术服务,mysql数据库运维,oracle数据库运维,sqlserver数据库运维,压力测试,性能测试,压测工具,压力测试工具,压测软件,压测平台

阿里云Web应用防火墙特性及功能

发布:凯铧互联

凯铧互联小编本文讲解的是阿里云Web应用防火墙特性及功能。如果您还有阿里云其他技术问题可以直接咨询本站客服,专业技术人员会为您提供7×24技术服务。

阿里云Web应用防火墙

一、什么是阿里云Web应用防火墙
阿里云云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

您购买Web应用防火墙后,把域名解析到Web应用防火墙提供的CNAME地址上,并配置源站服务器IP,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

二、Web应用防火墙特性及功能
Web应用防火墙(WAF)帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。

特性:

核心攻防+大数据能力驱动Web安全
新时代的云WAF
一款淘宝天猫都在用的WAF
WAF支持以下功能:

1、业务配置

支持对网站的HTTP、HTTPS(高级版及以上)流量进行Web安全防护。

2、Web应用安全防护

(1)、常见Web应用攻击防护

防御OWASP常见威胁,包括:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等。
(2)、网站隐身:不对攻击者暴露站点地址、避免其绕过Web应用防火墙直接攻击。
0day补丁定期及时更新:防护规则与淘宝同步,及时更新最新漏洞补丁,第一时间全球同步下发最新补丁,对网站进行安全防护。
友好的观察模式:针对网站新上线的业务开启观察模式,对于匹配中防护规则的疑似攻击只告警不阻断,方便统计业务误报状况。
(3)、CC恶意攻击防护

对单一源IP的访问频率进行控制,基于重定向跳转验证,人机识别等。
针对海量慢速请求攻击,根据统计响应码及URL请求分布、异常Referer及User-Agent特征识别,结合网站精准防护规则进行综合防护。
充分利用阿里云大数据安全优势,建立威胁情报与可信访问分析模型,快速识别恶意流量。
(4)、精准访问控制

提供友好的配置控制台界面,支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合,配置强大的精准访问控制策略;支持盗链防护、网站后台保护等防护场景。
与Web常见攻击防护、CC防护等安全模块结和,搭建多层综合保护机制;依据需求,轻松识别可信与恶意流量。
(5)、虚拟补丁

在Web应用漏洞补丁发布和修复之前,通过调整Web防护策略实现快速防护。

3、攻击事件管理

支持对攻击事件、攻击流量、攻击规模的集中管理统计。

可靠性

支持负载均衡:以集群方式提供服务,多台机器负载均衡,支持多种负载均衡策略。
支持平滑扩容:可根据实际流量情况,缩减或增加集群机器的数量,进行服务能力弹性扩容。
无单点问题:单台机器宕机或者下线维修,均不影响正常服务。

以上就是阿里云Web应用防火墙特性及功能的相关说明,如果您还有阿里云服务器价格/阿里云产品折扣以及阿里云技术服务等,请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务,同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7×24技术服务。 电话专线:136-5130-9831,QQ:3398234753。

 

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

阿里云CDN+OSS跨域访问失败原因及处理方法

发布:凯铧互联

凯铧互联小编本文讲解的是阿里云CDN+OSS跨域访问失败原因及处理方法。如果您还有阿里云其他技术问题可以直接咨询本站客服,专业技术人员会为您提供7×24技术服务。

出现的问题现象:

Cors 设置跨域访问原理我们都了解,那么设置CDN后,为什么会出现跨域失败呢?
主要原因:
在用户第一次访问cdn,cdn会检查数据没有,回源到源站进行访问。源站对比将数据经过cdn反馈给客户端浏览器。浏览器比对Access-Control-Allow-Origin 后,允许正确,所以跨域正常。 当第二个用户访问时,cdn检测有这个文件,所以会直接给客户端反馈缓存页面。由于CDN之所以失败是因为CDN缓存了OSS未配置cors之前的文件及其头部,造成客户端浏览器判断失败,不允许访问。所以出现了跨域失败。
解决办法:
目前我们CDN直接提供了Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Max-Age

111

我们可以分别设置参数如下:
注意:参数可以自定义,以下只是举例

111

这样只要在CDN节点访问就会包含3个头部信息,不会影响正常访问。且在跨域验证保证了正常使用。测试结果如下:

111

 

以上就是阿里云CDN+OSS跨域访问失败原因及处理方法,如果您还有阿里云服务器价格/阿里云产品折扣以及阿里云技术服务等,请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务,同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7×24技术服务。 电话专线:136-5130-9831,QQ:3398234753。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

云服务器ECS是什么?

近十年来,云计算概念大肆崛起,而作为一个新兴概念很多专业概念还不为人熟知,比如云服务器ecs就是其中一个。云服务器ecs作为一个专有名词频繁出现在搜索榜单中。那么今天笔者就与大家聊一聊这看似高深莫测的云服务器ecs究竟是什么?

1.什么是云服务器ECS 云服务器(Elastic Compute Service,简称ECS)是一种简单高效、处理能力可弹性伸缩的计算服务,帮助您快速的构建更稳定、安全的应用,提高运维效率,降低IT成本,使您更专注于核心业务创新。
2.ECS的产品定位和实现原理 ECS(云服务器)是阿里云产品体系中,最基础的计算服务,通常用作应用程序的运行环境,其最重要的特点就是弹性。
基于阿里云自主研发的大规模分布式计算系统,通过虚拟化技术整理IT资源,为各行业提供互联网基础设施服务设备。
3.ECS是应用的基础运行环境 应用程序的基础运行环境:每一个ECS实例上都运行着用户选择的操作系统,一般是某个Linux或者Windows的发行版本,用户的应用程序运行在实例的操作系统之上。
最简化的弹性结构:较好的实践是将ECS和其他的云服务产品配合使用,例如,将使用ECS运行webserver,使用RDS作为数据库,OSS作为文件存储,应该避免完全将原有的物理服务器上的应用都照搬跑到云服务器上。
4.ECS的弹性伸缩 ECS的最重要的特点就是弹性,支持纵向和横向扩展两种能力。
纵向的弹性,即单个服务器的配置变更。传统的IDC模式下,很难做到对单个服务器进行变更配置。而对于阿里云,当您购买了云服务器或者存储的容量之后,可以根据业务量的增长后者减少自由变更自己的配置。
横向的弹性。对于游戏应用或直播平台出现的高峰期,若在IDC模式下,您根本无法立即准备资源;而云计算却可以使用弹性的方式帮助客户度过这样的高峰。当业务高峰消失时,您可以将多余的资源释放掉,以减少业务成本的开支。
5.ECS的优势
云服务器ECS 传统服务器
稳定 实例可用性达99.95%,云盘数据可靠性不低于99.9999999%,自动宕机迁移,自动快照备份(需手动配置快照策略),数据恢复更方便。 传统服务器受限于硬件可靠性,易出问题,需要手动备份,人工数据恢复困难、耗时
弹性 自动配置CPU、内存、带宽,可随意升级,升级配置数据不丢失,业务暂停时间可控。 固定配置,难以满足各类需求,改配置需要硬件升级,周期长,服务停止时间不可控
安全 免费提供DDoS防护,木马查杀、防爆力破解等服务,可以轻松实现多用户对多服务器的访问控制 需要额外购买、部署各种安全措施,基本上做不到多用对多服务器访问控制
成本 高性价比,支持包年包月或者按量计费,满足不同需求,无需无服务器网络和硬件等维护,0成本运维 租用费用高,只能包年包月购买,大量人员负责机器运维,成本高
易用性 丰富的操作系统和应用软件,通过镜像可一键简单部署,同一镜像可以在多台ECS中快速复制环境,轻松扩展 几乎不提供任何软件支持,新增服务器需人工重复所有的部署操作
可拓展性 ECS可与阿里云各种丰富的云产品无缝衔接,可持续为业务发展提供完整的计算、存储、安全等解决方案。 很难在同一服务商内找到完整的服务,不能保证业务增加的可拓展性和持续性

 

Windows操作系统安全加固说明及操作步骤

发布:凯铧互联

本文档旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。

 

一、账户管理和认证授权

1、账户

(1)、默认账户安全

禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)

操作步骤 打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。

(2)、按照用户分配帐户 按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。

操作步骤 打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,根据您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等。

(3)、定期检查并删除与无关帐户 定期删除或锁定与设备运行、维护等与工作无关的帐户。

操作步骤 打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,删除或锁定与设备运行、维护等与工作无关的帐户。

(4)、不显示最后的用户名 配置登录登出后,不显示用户名称。

操作步骤: 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。

不显示用户名称

 

2、口令

(1)、密码复杂度

密码复杂度要求必须满足以下策略: 最短密码长度要求八个字符。

启用本机组策略中密码必须符合复杂性要求的策略。 即密码至少包含以下四种类别的字符中的两种:

英语大写字母 A, B, C, … Z

英语小写字母 a, b, c, … z

西方阿拉伯数字 0, 1, 2, … 9

非字母数字字符,如标点符号,@, #, $, %, &, *等

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,确认 密码必须符合复杂性要求 策略已启用。

(2)、密码最长留存期

对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。

操作步骤打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,配置 密码最长使用期限 不大于90天。

密码最长留存期

(3)、pwd 帐户锁定策略

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。

配置样例:

pwd帐户锁定策略

3、授权

(1)、远程关机

在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给Administrators组。

(2)、本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给Administrators组。

(3)、用户权限指派

在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

(4)、授权帐户登录

在本地安全设置中,配置指定授权用户允许本地登录此计算机。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。

(5)、授权帐户从网络访问

在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。

授权帐户从网络访问

 

二、日志配置操作

 

1、日志配置

(1)、审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。 操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。

(2)、审核策略

启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改。

(3)、审核对象访问

启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问。

(4)、审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问。

(5)、审核特权使用

启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。

(6)、审核系统事件

启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。

(7)、审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。

(8)、审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪。

审核过程追踪访问

 

2、日志文件大小

设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。

操作步骤 打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

日志文件

 

三、 IP协议安全配置

IP协议安全,启用SYN攻击保护 启用SYN攻击保护

 

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

 

操作步骤 打开 注册表编辑器,根据推荐值修改注册表键值。 以Windows Server 2012为例说明如下 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect 推荐值:2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen 推荐值:500 Windows Server 2008 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值:2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值:5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen 推荐值:500 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried 推荐值:400

 

四、文件权限

1、共享文件夹及访问权限

关闭默认共享 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。

操作步骤 打开 注册表编辑器,根据推荐值修改注册表键值。

注意: Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer 推荐值: 0

2、共享文件夹授权访问

每个共享文件夹的共享权限,只允许授权的帐户拥有共享此文件夹的权限。

操作步骤 每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理,在 共享文件夹 中,查看每个共享文件夹的共享权限。

 

五 、服务安全

1、 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

操作步骤 在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。 在网络连接属性中,双击 Internet协议版本4(TCP/IPv4),单击 高级。在 WINS 页签中,进行如下设置:

禁用TCP/IP上的NetBIOS协议

2、禁用不必要的服务

禁用不必要的服务,请参考:

禁用不必要的服务

 

六 、安全选项

 

1、启用安全选项

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,进行如下设置:

启用安全选项

2、禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,禁用 关机: 允许系统在未登录前关机 策略。

禁用未登录前关机

 

七 、其他安全配置

1、防病毒管理

Windows系统需要安装防病毒软件。

操作步骤 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

2、设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤 启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。

3、限制远程登录空闲断开时间

对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。

操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。

4、操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

操作步骤 安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

注意:对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。

操作系统补丁管理

 

如果您的问题还未解决,请联系凯铧互联售后技术支持。若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面/便捷/专业的7×24技术服务。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务:阿里云代理商凯铧互联拥有专业的网络架构团队、云服务解决团队、阿里云产品服务团队能够帮助用户提供快捷、全面、高效的云上解决方案 。凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

阿里云政务云安全解决方案

发布:凯铧互联

标签:阿里云政务云安全解决方案,阿里云代理,凯铧互联

方案简介:
基于合规的阿里云平台,并标配多项高等级安全能力,满足政务应用系统的综合安全防御需求,为政务用户提供一个合规、安全、可靠的政务专属云平台;只需业务上阿里政务云,便可一站式解决安全、合规等需求;减少传统繁琐建设流程。

政务系统安全现状
1】ISV安全开发能力不足:对于应用软件源代码安全风险意识不足;容易导致Web应用系统存在安全漏洞。
2】缺乏纵深防御体系:黑客攻击手法也非常多样化;而传统安全防护手段强调单点防护,缺乏纵深防御体系支撑。
3】缺乏未知威胁检测能力 :传统安全防护设备均基于静态策略及已知特征进行“黑白名单”式的规则匹配,无法应对复杂Web攻击。
4】缺乏整体持续监控能力 :部分政务单位具有一定的安全能力,但缺乏整体的持续监控能力;而在持续攻击时代,显然有些力不从心。

方案技术架构图:
政务云安全解决方案架构图

架构产品推荐:
高防IP

态势感知

web应用防火墙

CA证书

堡垒机

安全管家

方案标配的高等级安全能力
主机安全防御能力
Web安全防御能力
DDoS攻击防御能力
整体态势感知能力

方案多项增值安全服务内容选择
1】支持标配安全产品能力升级
2】提供全天候全方位态势感知大屏展示
3】提供多项安全审计产品选择
4】 支持一键导入证书,实现全站Https化
5】有机结合第三方安全产品

如您的问题还未解决,请联系售后技术支持。若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面/便捷/专业的7×24技术服务。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务:阿里云代理凯铧互联拥有专业的网络架构团队、云服务解决团队、阿里云产品服务团队能够帮助用户提供快捷、全面、高效的云上解决方案 。凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

CentOS 7.4 实例配置 Nginx + HTTPS 服务

发布:凯铧互联

基于 TCP(以及UDP)协议的 HTTPS(Hyper Text Transfer Protocol Secure)服务,相比 HTTP(Hyper Text Transfer Protocol)服务更安全的原因,在于 HTTPS 的通信协议是由 TLS (Transport Layer Security)或者 SSL(Secure Sockets Layer)加密完成的。因此,使用 HTTPS 服务部署网络服务更加安全可靠。

本文介绍了如何在 CentOS 7.4 实例环境中安装配置 Nginx 的 HTTPS 服务。若您的 ECS 实例为其他 Linux 发行版,操作有部分差异。

前提条件

配置 HTTPS 服务时,您需要预先在 ECS 实例所在的安全组开启 TCP 443 通信端口。参阅 添加安全组规则。

若您需要同时测试 HTTP 访问模式,您需要预先在 ECS 实例所在的安全组开启 TCP 80 通信端口。参阅 添加安全组规则。

配置 Nginx + HTTPS 服务

根据以下步骤配置 Nginx + HTTPS 服务:

1.远程连接 并登录到 Linux 实例。

2.运行 cd /usr/local 切换目录。

3.运行以下命令安装 PCRE 和 zlib 库。

yum -y install pcre pcre-devel
yum install -y zlib-devel
4.前往 https://nginx.org/download/ 下载 Nginx。如示例中 nginx-1.9.9.tar.gz 的下载地址为 http://nginx.org/download/nginx-1.9.9.tar.gz。

运行 wget http://nginx.org/download/nginx-1.9.9.tar.gz 下载 Nginx。

NginxDownload

5.运行 tar -xvzf nginx-1.9.9.tar.gz 解压安装包。

6.前往 https://www.openssl.org/source 下载 OpenSSL。如示例中 openssl-1.1.0g.tar.gz 的下载地址为 https://www.openssl.org/source/openssl-1.1.0g.tar.gz。

运行 wget https://www.openssl.org/source/openssl-1.1.0g.tar.gz 下载 OpenSSL。

OpenSSLDownload

7.运行 tar -xvzf openssl-1.1.0g.tar.gz 解压安装包。

8.运行 cd nginx-1.9.9 切换目录。

9.依次运行以下命令配置 Nginx。

./configure –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_gzip_static_module –with-http_ssl_module –with-openssl=/usr/local/openssl-1.1.0g
make && make install
注意:
您需要根据自己下载的 OpenSSL 版本号更改命令中的 /usr/local/openssl-1.1.0g。
Configure

10.运行 openssl req -new -x509 -nodes -out server.crt -keyout server.key 生成证书,并根据您的需要填写信息。

GenerateCertificate

11.运行 vi /usr/local/nginx/conf/nginx.conf 修改 Nginx 配置文件,示例使用了 vi /usr/local/nginx-1.9.9/conf/nginx.conf 命令。

按下 i 键进入编辑,复制并粘贴以下内容后,按 Esc 并输入 :wq 保存退出。

server {
listen 443 ssl;
server_name localhost;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}CentOS7.4实例

12.运行 /usr/local/nginx/sbin/nginx 启动 Nginx。

测试结果

打开浏览器测试配置结果:

使用 ECS 实例的公网 IP 地址 测试。

配置Nginx + HTTPS

使用 HTTPS + ECS 实例的公网 IP 地址 测试。

阿里云代理商凯铧互联

如问题还未解决,请联系售后技术支持。若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面/便捷/专业的7×24技术服务。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

阿里云游戏测试解决方案

发布:凯铧互联

方案简介:
深度分析游戏测试问题,通过针对性的个性化测试方案,精准选取目标机型,执行专业、完整的测试用例,来提前发现手游的兼容性问题!游戏测试痛点:
兼容性适配
1.Android的兼容性适配是开发测试同学的一大难题,不同的品牌、不同的系统版本、不同的软硬件环境,适配起来难度可想而知,大大增加了游戏开发测试的成本
2.Android机器更新速度非常快,每年几百款机型的更新也加大了购机成本
3.自建机房管理本地设备,运维技术的挑战也非常大,网络、带宽、存储、稳定性等等;
4.机型兼容性适配的效率直接影响着游戏开发的效率和成本

自动化程度不高
1.游戏场景丰富,任一环节卡住就会影响后续所有动作;
2.游戏App无控件可遍历,普通脚本无法自动化;
3.动态目标变化场景,如旋转、扭曲、粒子效果、不规则动画等;

性能瓶颈
1.性能影响玩家的整体体验,是用户留存的关键因素;
2.卡顿、无响应等性能问题频出,定位困难,解决更费力;
3.玩家对操作流畅感要求极高,关注画面流畅、操作卡顿等游戏性能问题;

方案架构图:
阿里云游戏测试解决方案架构图
方案特点:
海量机型 深度性能
智能识别 深度UI遍历

详细解读:
1.为游戏提供Top 600真机测试,保证覆盖95%以上主流机型,一次性解决兼容性问题
2.深度性能测试,深入分析场景性能问题,提高用户体验
3.创新使用智能图像识别技术,模拟玩家登录,覆盖新手引导等真实游戏场景
4.深入游戏内部功能点,深度遍历每一个页面,测试不留死角

若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面/便捷/专业的7×24技术服务。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

阿里云解析DNS支持哪些解析类型?

发布:凯铧互联

阿里云解析 DNS支持 A、CNAME、NS、MX、TXT、SRV、AAAA、CAA、URL 等解析类型。
1、A (Address) 记录:域名指向一个 IPv4 地址(如10.10.10.10),如需要指向一个 IPv4 地址,则需要增加 A 记录;
2、CNAME记录:如果将域名指向一个域名,实现与被指向域名相同的访问效果,则需要增加 CNAME 记录;
3、MX记录:建立电子邮箱服务,将指向邮件服务器地址,需要设置 MX 记录;
4、NS记录:域名解析服务器记录,即把子域名指定某个域名服务器来解析,就需要设置 NS 记录;
5、TXT记录:用来做 SPF 记录,反垃圾邮件使用;
6、SRV记录:用来记录某台服务器提供的服务情况;
7、AAAA记录:域名指向一个 IPv6 地址记录;
8、CAA记录:证书颁发机构授权,是一种保护域名免受钓鱼的安全措施,网站运营商可以通过该措施来保护域名免于错误发布;
9、URL记录:希望访问 A 域名时访问到 B 域名的内容,这时您就可以通过 URL 转发来实现,可以将 A 域名转发到 B 域名或 B 域名某一个目录下;如 alibjyun.com 转发到http://www.bjkaihua.com/aliyun。
注意:根据工信部关于域名跳转服务的政策要求,URL 转发功能目前只支持网站有备案号且接入商是万网的域名转发需求,网站无备案号或接入商不是万网的域名转发需求暂不支持。您还有其他问题请直接联系凯铧互联客服,或者到阿里云官网进行提交工单进行申请处理。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

阿里云CDN命中率低解决方案

发布:凯铧互联

我们使用阿里云CDN之后,是能够在CDN控制台上看见一些相关的数据的,其中CDN 的命中率也能够看见。若是我们发现控制台显示命中率一直不高,同时源站收到比较多的来自CDN的回源请求,并对源站造成一定的负载压力。下面就由凯铧互联小编来为大家提供解决办法。

阿里云CDN命中率低解决方案
【一】控制台上统计的命中率仅仅是统计的CDN L1的命中率,实际情况中是L2命中也是从阿里云CDN 节点拿去数据的,并不会回源,因此真实的CDN命中率是要比控制台上显示的要略高

【二】查看用户所提交的CDN加速域名的流量情况,加速域名的流量不高的情况之下,就算是MISS的URL并不多,但是对于命中率的计算产生的影响还是非常大的。
例:某一个阿里云CDN加速的域名一同对外提供了10个可以访问的URL,这其中有一个URL源站商设置了no-cache导致不会缓存,这种情况之下就算是其它所有URL访问都命中,命中率也仅仅只有90%

【三】假如第1和第二都确认OK的情况之下,下面有几种可能导致命中率低的情况,请您按照下文进行逐一对照排查:
1】源站商缓存的header设置不当,或者是缺少必要的header,这种情况根据阿里云CDN的缓存规则是不缓存的,这样自然就会导致每次访问都会出现MISS,影响命中率。
缓存header设置不当主要是cache-control或者pragma的影响,即源站上设置了cache-control:no-cache/no-store/max-age=0/private或者Pragma:no-cache等均会被CDN当做最高优先级执行不缓存。
缺少必要的header,则是指源站的response头中不包含etag和last-modified也会导致不缓存,具体哪几种情况会导致不缓存,可以参考download: 判断CDN不缓存某文件的方法.docx。

2】控制台设置了不缓存的规则(比如某目录或者某种后缀的文件设置缓存时间为0秒),查询方法可以在CDN控制台查看也可以联系客服请求技术服务远程协助。

3】源站商动态内容居多,现目前阿里云CND主要加速静态资源(css、js、html、图片、txt、视频等),针对动态资源(php、jsp、包含内部逻辑处理甚至cookie等)基本都是回源。

4】CDN的访问URL中带有可变参数,无论该URL是否符合CDN的缓存规则,因为后面的参数可变,所以每次访问都是一个全新的URL,则每次都会MISS,从而影响命中率。

5】进行刷新操作频繁,有定时刷新操作,每一次刷新之后就会导致所有已经在CDN上缓存的URL实效,这样下一次访问同样的URL,自然就会MISS,这就造成命中率下降。

6】文件的热度不够,不是那种经常被客户访问到,导致虽然符合上面的所有规则,但是经常有被节点下掉缓存。CDN节点上缓存的文件,可以理解为按照热度属性采取末尾淘汰制,这其中访问热度就是文件在这个节点上被访问的频率,文件热度在一定程度上就是域名本身的流量不高造成的。

看完上述阿里云 CDN命中率低解决方案,如果您还有阿里云服务器价格/阿里云产品折扣以及云技术服务等,请您直接联系本站客服,如果您还有疑问可以直接联系客服,阿里云代理商凯铧互联(网站:www.alibjyun.com)为您提供一对一服务。

为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,提供7×24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。

详解有效防护混合DDoS的攻击

近年来,一种新的攻击模式出现了。突发式攻击,也称为打了就跑DDoS攻击,可以在随机的时间间隔内重复使用短时的突发高容量攻击。常见的DDoS攻击通常以持续的高流量洪水的形式出现,流量逐渐上升,到达最高点,然后就是缓慢下降或突然下降。
  多数的企业内部DDoS防护解决方案都能检测到突发式攻击,但多数解决方案也只能将不良(和合法)流量限制在一定的阈值,从而引发高误报率。因为企业内部DDoS设备和清洗中心DDoS设备都是采用速率限制和手动特征码来查找攻击流量,进而减少误报。
  行为式DoS(BDoS)防护技术可以通过利用机器学习算法来有效地检测并缓解突发式攻击。这些算法可以了解正常流量行为,在攻击中检测流量异常,自动创建特征码并调整防护措施来缓解攻击。然而,由于没有足够时间来自动创建拦截特征码,因此只持续几秒钟的突发式攻击就可以绕过BDoS防护措施。这也是行为式突发攻击防护的切入点。
  腾讯云中的主机安全(云镜)利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。