互联网运维安全总结


2018年5月8日 10:09 ⋅ 阅读: 74


出口安全

  • 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、vpn,其他暴露服务进行都进行访问控制
  • web请求服务器时通过CDN 服务既提高静态资源加载速度,同时也隐藏了真实的源地址

系统安全

  • nologin,禁止登录系统
  • 主机初始化时更新系统漏洞补丁
  • Linux 使用iptables定制白名单策略访问策略
  • Windows 通过防火墙策略和组策略->ip策略控制服务
  • Linux系统自带访问控制配置:白名单/etc/hosts.allow、黑名单/etc/hosts.deny

应用服务

  • 使用普通用户的身份运行应用
  • 使用web代理,不直接暴露web后端
  • 缓存服务等设置认证密码

登录审计

  • 堡垒机使线上操作更加谨慎,事后追溯有据可查

安全平台

  • 业务入口安全 web应用防火墙;阿里云waf应用防火墙,nginx软waf
  • 内网安全自动扫描,白盒监测

监控和预警

  • 监控平台流量异常、登录异常预警
  • 日志平台日志告警

本地安全

  • 物理门禁限制外来人员
  • 网络vlan隔离部门、dhcp snooping信任指定接口dhcp服务器、固定设备arp双向绑定
  • 内部管理:员工安全意识