阿里云代理商更新優(yōu)惠券：阿里云服務(wù)器安全嗎?
上海聚搜信息技術(shù)有限公司是阿里云的代理商網(wǎng)址:http://www.4526.cn/可以直接在網(wǎng)站上聯(lián)系阿里云代理商客服進(jìn)行咨詢(xún)服務(wù)器架構和配置以及優(yōu)惠價(jià)格?。ň鬯?a href="http:///">營(yíng)銷(xiāo)介紹鏈接：http:///ldd/）是一家致力于搜索引聚搜營(yíng)銷(xiāo)及全網(wǎng)營(yíng)銷(xiāo)，致力于為客戶(hù)提供搜索營(yíng)銷(xiāo)領(lǐng)域的服務(wù)，幫助廣告客戶(hù)在搜索引聚搜獲取的投資回報，包括搜索引聚搜競價(jià)服務(wù)(SEM)，搜索引聚搜優(yōu)化服務(wù)（seo）和搜索營(yíng)銷(xiāo)代運營(yíng)服務(wù)，能夠有效為廣告主帶來(lái)高效的投放回報，我們的理念一直是：讓搜索營(yíng)銷(xiāo)營(yíng)銷(xiāo)具有價(jià)值。
聚搜營(yíng)銷(xiāo)團隊于2015年在上海成立，團隊核心均來(lái)自百度搜索部門(mén)和國內知名服務(wù)商的成員，有非常豐富的產(chǎn)品和項目?jì)?yōu)化經(jīng)驗，這兩年來(lái)，服務(wù)于國內很多大中型企業(yè)和很多初創(chuàng )公司，通過(guò)我們多年的經(jīng)驗和服務(wù)，幫助他們在搜索營(yíng)銷(xiāo)領(lǐng)域上取得了不斷的成功。
阿里云服務(wù)器 ecs 安全嗎：如何提高ECS實(shí)例的安全性
如何提高ECS實(shí)例的安全性
云服務(wù)器 ECS 實(shí)例是一個(gè)虛擬的計算環(huán)境，包含了 cpu、內存、操作系統、磁盤(pán)、帶寬等最基礎的服務(wù)器組件，是 ECS 提供給每個(gè)用戶(hù)的操作實(shí)體。
我們基本可以理解為一個(gè)實(shí)例就等同于一臺虛擬機，那么我們在本地維護的虛擬機一般會(huì )做虛擬機實(shí)例級別的安全防護，以防止虛擬機被攻擊和入侵等。同樣的，云上的ECS實(shí)例也需要做安全性防護。
ECS實(shí)例放置在云上，除了置身于阿里云自身的安全平臺外，用戶(hù)也需要根據實(shí)際的需求進(jìn)一步定制化安全，所以說(shuō)ECS的安全是阿里云和用戶(hù)共同構建的。如果ECS實(shí)例沒(méi)有安全的防護，可能會(huì )帶來(lái)不少不良的影響，比如遭受到DDoS而導致業(yè)務(wù)中斷，比如受到Web入侵而導致網(wǎng)頁(yè)被篡改、掛馬，比如被注入而導致信息和數據泄漏等，影響ECS的使用和無(wú)法正常提供服務(wù)。
一般可以通過(guò)設置安全組、AntiDDoS、態(tài)勢感知、安裝安騎士、接入Web應用防火墻等方式提高ECS實(shí)例的安全性。下面就從實(shí)例層面分別講解一下如何提高ECS實(shí)例的安全性。
設置安全組
安全組是一個(gè)邏輯上的分組，這個(gè)分組是由同一個(gè)地域（Region）內具有相同安全保護需求并相互信任的實(shí)例組成。每個(gè)實(shí)例至少屬于一個(gè)安全組，在創(chuàng )建的時(shí)候就需要指定。同一安全組內的實(shí)例之間網(wǎng)絡(luò )互通，不同安全組的實(shí)例之間默認內網(wǎng)不通?？梢允跈鄡蓚€(gè)安全組之間互訪(fǎng)。
設置安全組的好處
安全組是一種虛擬防火墻，具備狀態(tài)檢測包過(guò)濾功能。安全組用于設置單臺或多臺云服務(wù)器的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，它是重要的網(wǎng)絡(luò )安全隔離手段，用于在云端劃分安全域。安全組規則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實(shí)例的公網(wǎng)和內網(wǎng)的入出方向的訪(fǎng)問(wèn)。
如果沒(méi)有很好地設置安全組或者安全組規則過(guò)于開(kāi)放，則降低了訪(fǎng)問(wèn)的限制級別，在一定程度上為攻擊者敞開(kāi)了大門(mén)。
操作步驟
1、登錄 云服務(wù)器管理控制臺。
2、單擊左側導航中的 安全組。
3、選擇地域。
4、單擊添加安全組規則。
5、在彈出的對話(huà)框中，分別設置網(wǎng)絡(luò )類(lèi)型、規則方向、授權策略、協(xié)議類(lèi)型、端口范圍、授權類(lèi)型、授權對象和優(yōu)先級。
6、點(diǎn)擊 確定，成功為該安全組授權一條安全組規則 。
下面結合一個(gè)案例來(lái)闡述一下，比如只允許特定IP遠程登錄到實(shí)例。
通過(guò)配置安全組規則可以設置只讓特定 IP 遠程登錄到實(shí)例。只需要在公網(wǎng)入方向配置規則就可以了，以 Linux 服務(wù)器為例，設置只讓特定 IP 訪(fǎng)問(wèn) 22 端口。
添加一條公網(wǎng)入方向安全組規則，允許訪(fǎng)問(wèn)，協(xié)議類(lèi)型選擇 TCP，端口寫(xiě) 22/22，授權類(lèi)型為地址段訪(fǎng)問(wèn)，授權對象填寫(xiě)允許遠程連接的 IP 地址段，格式為 x.x.x.x/xx，即 IP地址/子網(wǎng)掩碼，本例中的地址段為 182.92.253.20/32。優(yōu)先級為 1
再添加一條規則，拒絕訪(fǎng)問(wèn)，協(xié)議類(lèi)型選擇 TCP，端口寫(xiě) 22/22，授權類(lèi)型為地址段訪(fǎng)問(wèn)，授權對象寫(xiě)所有 0.0.0.0/0，優(yōu)先級為 2
最終的效果如下：
來(lái)自 IP 182.92.253.20 訪(fǎng)問(wèn) 22 端口優(yōu)先執行優(yōu)先級為 1 的規則允許。
來(lái)自其他 IP 訪(fǎng)問(wèn) 22 端口優(yōu)先執行優(yōu)先級為 2 的規則拒絕了。
AntiDDoS
阿里云云盾可以防護SYN Flood，UDP Flood，ACK Flood，ICMP Flood，DNS Flood，CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費為阿里云用戶(hù)提供最高5G的默認DDoS防護能力。
阿里云在此基礎上，推出了安全信譽(yù)防護聯(lián)盟計劃，將基于安全信譽(yù)分進(jìn)一步提升DDoS防護能力，用戶(hù)最高可獲得100G以上的免費DDoS防護資源。
為什么需要AntiDDoS
DDoS（Distributed Denial of Service）即分布式拒絕服務(wù)。攻擊指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計算機聯(lián)合起來(lái)作為攻擊平臺，對一個(gè)或多個(gè)目標發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，影響業(yè)務(wù)和應用正常對用戶(hù)提供服務(wù)。
使用AntiDDoS，無(wú)需采購昂貴清洗設備，可以在受到DDoS攻擊不會(huì )影響訪(fǎng)問(wèn)速度，帶寬充足不會(huì )被其他用戶(hù)連帶影響，保證業(yè)務(wù)可用和穩定。
操作步驟
1、進(jìn)入阿里云官網(wǎng)，登錄到 管理控制臺。
2、輸入用戶(hù)名密碼。
3、通過(guò)云盾>DDOS防護>基礎防護，查看基礎防護配置。
4、可以加入安全信譽(yù)防護聯(lián)盟。勾選服務(wù)條款，點(diǎn)選加入安全信譽(yù)防護聯(lián)盟加入聯(lián)盟。如下圖所示。
云盾DDoS基礎版提供不大于5G的DDoS防護，在此基礎上推出了安全信譽(yù)防護聯(lián)盟計劃，您可通過(guò)加入此聯(lián)盟，在獲得原默認防護能力基礎上，會(huì )得到免費增量防護帶寬機會(huì )。
加入聯(lián)盟后，可查看自己的安全信譽(yù)分，并查看安全信譽(yù)組成，維護安全信譽(yù)，獲得更大的防護能力。加盟成功后在基礎防護界面顯示如下信譽(yù)界面。
5、【基礎防護】點(diǎn)擊對應ECS服務(wù)器的【查看詳情】，如果服務(wù)器數量比較多，可以在【云服務(wù)器ecs】列表中通過(guò)【實(shí)例IP】和【實(shí)例名稱(chēng)】搜索服務(wù)器，再點(diǎn)擊對應服務(wù)器的【查看詳情】。
6、進(jìn)入頁(yè)面后，可以在【CC防護】點(diǎn)擊【已啟用】開(kāi)啟CC防護，點(diǎn)擊【關(guān)閉】則關(guān)閉CC防護功能，在【每秒HTTP請求數】可以對每秒http請求數設置清洗閾值，達到閾值后便會(huì )觸發(fā)云盾的清洗。
7、如果購買(mǎi)了高級DDoS防護，可以點(diǎn)擊【DDoS防護高級設置】可以設置清洗閾值，選擇【自動(dòng)設置】后系統會(huì )根據云服務(wù)器的流量負載動(dòng)態(tài)調整清洗閾值，選擇【手動(dòng)設置】可以手動(dòng)對流量和報文數量的閾值進(jìn)行設置，當超過(guò)此閾值后云盾便會(huì )開(kāi)啟流量清洗(建議如果網(wǎng)站在做推廣或者活動(dòng)時(shí)適當調大)。
態(tài)勢感知
態(tài)勢感知態(tài)勢感知提供的是一項SAAS服務(wù)，即在大規模云計算環(huán)境中，對那些能夠引發(fā)網(wǎng)絡(luò )安全態(tài)勢發(fā)生變化的要素進(jìn)行全面、快速和準確地捕獲和分析。然后，把客戶(hù)當前遇到的安全威脅與過(guò)去的威脅進(jìn)行關(guān)聯(lián)回溯和大數據分析，最終產(chǎn)出未來(lái)可能產(chǎn)生的安全事件的威脅風(fēng)險，并提供一個(gè)體系化的安全解決方案。
態(tài)勢感知的優(yōu)勢
對“滲透攻擊”有所感知，以云計算數據平臺支撐，因此具有強大的安全數據分析能力，對各種常見(jiàn)類(lèi)型的攻擊可以實(shí)時(shí)分析和展示。
操作步驟
1、在阿里云用戶(hù)控制臺-《云盾》-《態(tài)勢感知》中點(diǎn)擊免費開(kāi)啟服務(wù)，即可使用態(tài)勢感知。
2、通過(guò)緊急時(shí)間、威脅、弱點(diǎn)、情報、日志等方面，輔以直觀(guān)的可視化的分析，讓安全一目了然。
安裝安騎士
服務(wù)器安全(安騎士)是云盾推出的一款服務(wù)器安全運維管理產(chǎn)品。通過(guò)安裝在服務(wù)器上的輕量級Agent插件與云端防護中心的規則聯(lián)動(dòng)，實(shí)時(shí)感知和防御入侵事件，保障服務(wù)器的安全。
安裝安騎士的好處
安騎士是很輕量的，服務(wù)器上運行的Agent插件，正常狀態(tài)下只占用1%的CPU、10MB內存。安騎士可以自動(dòng)識別服務(wù)器的Web目錄，對服務(wù)器的Web目錄進(jìn)行后門(mén)文件掃描，支持通用Web軟件漏洞掃描和Windows系統漏洞掃描，對服務(wù)器常見(jiàn)系統配置缺陷進(jìn)行檢測，包括可疑系統賬戶(hù)、弱口令、注冊表等進(jìn)行檢測。
我們可以將安騎士理解為ECS實(shí)例上的防病毒軟件，如果沒(méi)有安騎士，相當于少了一個(gè)可靠的衛士，我們ECS實(shí)例的健康性水平也會(huì )相應降低。
操作步驟
1、服務(wù)器安全(安騎士)Agent插件目前集成于安全鏡像中，在購買(mǎi)ECS后，一般都已經(jīng)默認安裝，您可以進(jìn)入安騎士控制臺-配置中心，查看每臺服務(wù)器的在線(xiàn)狀態(tài)。
2、若不在線(xiàn)，請按照如下方式下載并安裝。
1) 進(jìn)入服務(wù)器安全(安騎士)控制臺-設置-安裝Agent頁(yè)面，根據頁(yè)面提示獲取最新版本下載地址，以管理員權限在服務(wù)器上運行并安裝。
2) 對于非阿里云服務(wù)器，在安裝過(guò)程中會(huì )提示輸入驗證Key，這個(gè)驗證Key用于關(guān)聯(lián)阿里云賬號，通過(guò)阿里云賬號在安騎士控制臺使用相關(guān)功能，驗證key會(huì )顯示在安裝頁(yè)面中。
3) 大約安裝完成2分鐘后在云盾·服務(wù)器安全(安騎士)控制臺-配置中心里查看到在線(xiàn)數據，阿里云服務(wù)器將會(huì )從離線(xiàn)變成在線(xiàn)，非阿里云機器會(huì )新增在服務(wù)器列表中。
接入Web應用防火墻
云盾Web應用防火墻(Web application Firewall, 簡(jiǎn)稱(chēng) waf)基于云安全大數據能力實(shí)現，通過(guò)防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權核心資源訪(fǎng)問(wèn)等OWASP常見(jiàn)攻擊，過(guò)濾海量惡意CC攻擊，避免您的網(wǎng)站資產(chǎn)數據泄露，保障網(wǎng)站的安全與可用性。
接入Web應用防火墻的好處
無(wú)需安裝任何軟、硬件，無(wú)需更改網(wǎng)站配置、代碼，它可以輕松應對各類(lèi)Web應用攻擊，確保網(wǎng)站的Web安全與可用性，淘寶天貓都在用。除了具有強大Web防御能力，還可以指定網(wǎng)站的專(zhuān)屬防護，背后是大數據的安全能力。適用于在金融、電商、o2o、互聯(lián)網(wǎng)+、游戲、政府、保險、政府等各類(lèi)網(wǎng)站的Web應用安全防護上。
如果缺少WAF，光靠前面提到的防護措施會(huì )存在短板，例如在面對如數據泄密、惡意CC、木馬上傳篡改網(wǎng)頁(yè)等攻擊的時(shí)候，就不能拿很好地防護了，可能會(huì )導致Web入侵。
操作步驟
1、控制臺配置。
1) 登錄阿里云控制臺，找到云盾->Web應用防火墻->域名配置，點(diǎn)擊“添加域名”按鈕。
2) 彈出的對話(huà)框中輸入相關(guān)信息：
3) 獲取CNAME。配置好域名后，WAF會(huì )自動(dòng)分配給當前域名一個(gè)CNAME，可點(diǎn)擊域名信息來(lái)查看：
4) 上傳HTTPS證書(shū)和私鑰（僅針對HTTPS站點(diǎn)）。如果防護HTTPS站點(diǎn)，必須上傳服務(wù)器的證書(shū)和私鑰到WAF，否則訪(fǎng)問(wèn)HTTPS站點(diǎn)會(huì )有問(wèn)題。勾選HTTPS后，會(huì )看到紅色的“異?！弊謽?，提示當前證書(shū)有問(wèn)題，點(diǎn)擊“上傳證書(shū)”來(lái)上傳：
5) 接入狀態(tài)異常排查，剛添加完域名時(shí)，接入狀態(tài)可能會(huì )提示異常。這是正常的，待修改DNS使用CNAME解析接入WAF后，或者是有正常流量經(jīng)過(guò)WAF以后會(huì )變成正常的。
2、放行回源IP段。
3、本地驗證。
1) 以前面步驟中添加的域名 “www.4526.cn” 為例，hosts文件應該添加如下內容，其中前面的IP地址為對應的WAFIP地址，WAF的IP可以通過(guò)ping提供的CNAME來(lái)獲得。
2) 修改hosts文件后保存。然后本地ping一下被防護的域名，預期此時(shí)解析到的IP地址應該是剛才綁定的WAF IP地址。如果依然是源站地址，可嘗試刷新本地的DNS緩存（Windows的cmd下可以使用ipconfig/flushdns命令）。
3) 確認hosts綁定已經(jīng)生效（域名已經(jīng)本地解析為WAF的IP）后，打開(kāi)瀏覽器，輸入該域名進(jìn)行訪(fǎng)問(wèn)，如果WAF的配置正確，網(wǎng)站預期能夠正常打開(kāi)。
4) 嘗試一下手動(dòng)模擬一些簡(jiǎn)單的web攻擊命令，如www.4526.cn/?alert(xss) 預期WAF能夠彈出阻攔頁(yè)面：
4、通過(guò)DNS供應商或者其他域名解析系統，修改DNS解析。
阿里云給我們ECS實(shí)例的安全性提供了這么多的安全產(chǎn)品保駕護航，我們可以根據實(shí)際需要選擇相應的產(chǎn)品，加強對系統和數據的防護，減少ECS實(shí)例接受到的侵害，使其穩定、持久地運行。