web server安全防护.ppt

* * * * * * * * * * 記憶體超容量：VMware大勝！(Yes 對 No) 這個是值得大書特書的功能，舉例來說，你有100個VM，每個分配1GB，那麼在VMware下，你會發現記憶體並不會被佔用100GB，而是要用到的時候才會佔用。換句話說，如果你的實體記憶體有64GB，你也可以建立100個虛擬機，每個2GB(總容量200GB)，也不會讓建立不了。但在 Hyper-V中，如果你主機容量沒有200GB，你就不可以建立100個2GB的虛擬機，這一點實在是太沒彈性了，光這一點，Hyper-V就會失去不少潛在客戶。 動態分頁分享：VMware勝(Yes 對 No) 這一點也是非常重要的，當記憶體超容量啟動了，在VMware下的所有虛擬機，會分享記憶體分頁中一樣的程式碼。舉例來說，如果我們建立一個呼叫中心(call center)，有100台虛擬機給接線生使用，都安裝90%相容的軟體(如XP、Office、客戶資料庫)，那麼動態分頁分享功能，就會讓這些接線生使用的虛擬機使用同一個記憶體空間，如此一來當然可以省下大量的記憶體，才能達到記憶體超容量的效果，這一點也是Vmware能一直保持技術及市場領先的重要關鍵。 同步動態遷移：VMware勝(Yes 對 No) 同時移動多個上線的虛擬機是大型企業虛擬化必備的功能。當一台主機當機時，上面的多個虛擬機必須快速移到正常的主機上，關鍵字就在「多個」，因為大家用虛擬機的目的就是一實體機多虛擬機，因此能讓多個虛擬機遷移而將penalty和downtime減到最低，會是未來Hyper-V和VMware的主戰場之一。 動態資源排程：VMware大勝(Yes 對 No) DRS是VI3就有功能。當一台虛擬機要啟動時，會找出集群中最適合其啟動的實體機。舉例來說，如果有一台虛擬機是做資料庫的，當它啟動時，就會找 RAM最多，CPU最快的實體機來啟動。當某一台實體機上的虛擬機佔用太多資源時，上的虛擬機也會自己跑到集群中空閒的機器上。DRS功能是真正虛擬技術的終極應用，微軟的Hyper-V要加油了。 分佈式交換機：VMware大勝(Yes 對 No) 雖然兩者都有提供vSwitch，在正常使用時也沒太大差別，但當你的虛擬機進行遷移時，虛擬網路卡，防火牆設定，網路設等，路由設定等是不可能不變動的。因為你的實體機的MAC位置已經變了。但分佈式交換機可以在監控、防火牆、網路策略等方面和實體的交換機配合(Cisco Nexus 1000V)，讓這些移動或遷移時，網路上的penalty達到最小，並且在安全性上不會被有心人士利用。這個功能也是VMware大勝的地方。 * * * * * * 如果大家還有印象，為了因應新市場的開拓，貴公司希望能夠對客戶的網頁空間提供更高水準的保護，及穩定的服務，在2007年將所有對外服務server遷移到中華電信IDC機房，並購入FortiGate 300A作為客戶服務端server的防火牆，將該設備與原本貴公司所使用的sharetech LB2411透過專線以VPN連線 * fortigate300A屬於整合式威脅管理設備(Unified Threat Management,UTM)，這類最大優點為可以簡化我們公司的網路架構，本身包含多種功能，包括防火牆、NAT、IPS、VPN、SPAM等等， * 然而在單臺設備中開啟越多功能，效能也會隨之下降；而且多數UTM產品除了基本防火牆的安全功能外，其它如IPS，病毒過濾、內容過濾等安全功能都要每年另外購買license。 * 所以當初在購入時，我們曾經過約兩週的實機測試，最後決定在考量成本、穩定性跟效能的前提下，我們先針對IPS入侵防禦這項功能購買服務 目前為止，從規格限制上可以看到FortiGate 300A的ThroughPut為400Mbps，但是在啟動了與本公司的VPN連線功能以及NAT、IPS功能之後，實際可用的ThroughPut大約為50~65Mbps，還不至於影響到客戶的使用，短期還不需要進行升級汰換。 * 方才我們有提到目前已啟用IPS功能，預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，當它檢測到攻擊企圖後，它會自動地將攻擊封包丟掉或採取措施將攻擊源阻斷。 但時至今日，無論企業安全政策定義多嚴謹，對內或對外的HTTP服務（Port 80），也就是我們提供給客戶的網頁服務是一定會開啟的，因為透過瀏覽器啟動應用服務已經成為最便利也最方便的方式 過往這類的應用層攻擊並不普遍，但是隨著技術的普及跟成熟，我們不得不重視現況的改變。 因為不幸的是IPS卻無法對網頁服務提供任何防禦 從兩個月前開始，平均每個月我們的web server會遭受到2-3次駭客的惡意攻擊，例如這個月份就曾發生客戶的網頁內容被替換成錯誤