互联网运维安全总结

出口安全

• 不轻易暴露外网ip和服务端口； 使用防火墙和路由器以及云上的NAT网络，只映射web服务、V**，其他暴露服务进行都进行访问控制
• web请求服务器时通过CDN 服务既提高静态资源加载速度，同时也隐藏了真实的源地址

系统安全

• Linux 使用iptables定制白名单策略访问策略
• Windows 通过防火墙策略和组策略->ip策略控制服务
• Linux系统自带访问控制配置：白名单/etc/hosts.allow、黑名单/etc/hosts.deny

登录审计

• 堡垒机让线上操作更加谨慎,事后追溯有据可查

安全平台

• 业务入口安全 web应用防火墙：阿里云waf应用防火墙，nginx软waf
• 内网安全自动扫描，白盒监测

监控和预警

• 监控平台流量异常、登录异常预警
• 日志平台日志告警

本地安全

• 物理门禁限制外来人员
• 网络vlan隔离部门、dhcp snooping信任指定接口dhcp服务器、固定设备arp双向绑定
• 内部管理:员工安全意识