WAF
原理:Web应用防火墙,旨在提供保护 影响:常规Web安全测试手段会受到拦截 演示:免费D盾防护软件 Windows2012 + IIS +D盾 D盾防火墙 (d99net.net) 官网下载地址
未开启D盾:asp webshell后门可以正常解析
开启D盾防护后:asp后门无法解析,被拦截
CDN
分发网络CDN(Content Delivery Network)是建立并覆盖在承载网之上,由遍布全球的边缘节点服务器群组成的分布式网络
原理:内容分发服务,旨在提高访问速度 影响:隐藏真实源IP,导致对目标测试错误 演示:阿里云备案域名全局CDN加速服务 Windows2012 + BT宝塔面板 + CDN服务
阿里云购买CDN服务:域名需要备案
超级ping测试CDN
OSS
原理:数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。 演示: https://cloudreve.org/ 搭建云盘平台 Windows2008 + cloudreve + 阿里云OSS https://github.com/cloudreve/Cloudreve/releases/tag/3.7.1 1、启动应用 2、登录管理 3、配置存储信息 4、更改用户组存储属性
win server2008使用cloundreve搭建web服务:
使用初始账号密码登录 可在线拖拽上传文件
配置OSS存储:
阿里云OSS: 1、开通OSS 2、新建Bucket 3、配置Bucket属性 4、配置Access访问
原理: 为什么要使用第三方存储? 1)静态文件会占用大量带宽 2)加载速度 3)存储空间 影响: 上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储 1、修复上传安全 2、文件解析不一样 3、 Accesskey隐患
OSS存储只是单纯的储存数据资源,没有代码执行环境,即使上传了后门脚本,也无法解析,相对于直接上传到网站服务器上,更加安全。
Accesskey隐患(附带一张近期我的Accesskey报警)——云安全
反向代理
反向代理是充当Web服务器网关的代理服务器。当您将请求发送到使用反向代理的Web服务器时,他们将先转到反向代理,由该代理将确定是将其路由到Web服务器还是将其阻止。
正向代理为客户端服务,客户端主动建立代理访问目标(不代理不可达) 反向代理为服务端服务,服务端主动转发数据给可访问地址(不主动不可达) 原理:通过网络反向代理转发真实服务达到访问目的 影响:访问目标只是一个代理,非真实应用服务器 注意:正向代理和反向代理都是解决访问不可达的问题,但由于反向代理中多出一个可以重定向解析的功能操作,导致反代理出的站点指向和真实应用毫无关系!
正向代理:
反向代理:
演示:Nginx反向代理配置
Windows2012 + BT宝塔面板 + Nginx
负载均衡
原理:分摊到多个操作单元上进行执行,共同完成工作任务 影响:有多个服务器加载服务,测试过程中存在多个目标情况
演示:Nginx负载均衡配置
Windows2012 + BT宝塔面板 + Nginx
宝塔面板修改负载均衡配置,weight数值对应访问优先级。
配置好负载均衡后,对baidu.whgojp.top域名解析就会以1/2的概率分别访问这两个服务器
正常生产环境是搭建两个相同的服务,以防止一个服务器宕机后网站不能使用服务
#BT定义负载设置 upstream fzjh{ server 121.43.145.189:80 weight=2; server 121.41.59.211:80 weight=1; }
#定义访问路径 访问策略
location / {
proxy_pass http://fzjh/;
}