网络层安全说明
概览
帮助用户在云上搭建层次化的纵深防御体系,通过流量分析、可视化、故障诊断定位以及网络架构优化,降低客户业务的潜在风险。
需求场景
需求场景1:网络访问控制
如今实施网络攻击的门槛越来越低,服务器被黑的情况屡屡发生,企业一旦遭受网络攻击,损失严重。如果想要避免被攻击,网络控制是必不可少的措施。
- 私有网络VPC
VPC是一个用户能够自定义的虚拟网络,灵活设置网络地址空间,实现不同业务之间的网络隔离。
在运维中工程师遇见最多的问题是IP地址重叠、耗尽、滥用公网地址等问题,这将导致无法快速有效地进行扩容升级。为了避免VPC扩容以及后期和IDC、其他公有云平台打通VPN或专线时出现地址冲突问题,前期的网络规划需要充分考虑,合理分配地址空间。
目前百度智能云可用的地址空间包括10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。通常建议预留较大的地址空间,避免小型VPC,确保灵活性。同时将同类业务划分到相同子网,方便服务器统一管理,百度智能云支持将BCC、DCC的子实例、BBC等产品纳入VPC中。
了解详细信息:私有网络VPC
- 路由表
路由表是VPC中的流量控制器,可实现对全局和子网级别的流量控制。默认情况下,同一VPC内的子网默认互通,此外用户还可以自定义路由规则,控制网络流量的导向目的地。目前百度智能云支持对等连接、NAT网关、VPN网关、专线网关和自定义转发实例,实现多场景下的路由方案。
了解详细信息:路由表
- NAT网关
NAT网关为云服务器提供访问Internet服务,支持SNAT和DNAT,可以使多台云服务器共享公网IP资源访问Internet,也可以使云服务器能够提供Internet服务。
通过NAT网关实现对内提供访问外网的能力,对外隐藏内网服务器,增强网络的私密性和安全性。
了解详细信息:NAT网关,
- VPN网关和专线接入ET
当用户存在跨界链接的时候,通过Internet传输数据被黑客攻击的可能性大。可以通过部署VPN和专线服务,打通端到端的加密隧道或者专用传输链路,可以大大降低被攻击的风险。
通过VPN网关,将百度智能云与用户的多个数据中心快速、灵活搭建VPN隧道。百度智能云VPN网关,基于主备模式的高可靠架构实现,支持VPN健康性自动检测、故障自动恢复等功能。
如果用户同时对网络延时、稳定性要求极高,百度智能云专线服务将是最佳选择。专线服务为用户提供IDC与百度智能云快速、可靠的连接方式。专线服务分为物理专线和专线网关两个组成部分。用户可在物理专线上划分多个专线通道作为虚拟链路资源。专线网关由用户在其VPC中创建并维护,用户将专线通道绑定在指定专线网关上,并配置两端路由最终实现流量互通。
- 安全组和ACL
黑客可通过Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标服务器的服务端口(是指TCP/IP协议中的服务端口,范围在0-65535之间)是否是处于激活状态、服务器提供了哪些服务、提供的服务中是否含有某些缺陷等等。
高危端口常被黑客利用以进入服务器植入木马病毒,造成安全威胁,所以服务器端口安全的防范也是重中之重。常见的高危端口有TCP 135、139、445、1433、3306、5900等。
如果不加限制的对外开放所有端口,一旦服务器被攻陷,损失巨大。但服务器希望仅向合法的客户端提供服务,拒绝非法的访问。如何尽可能地拒绝非法访问呢?
安全组是为云服务器创建的实例级别的静态数据包筛选防火墙,可以定义IP+端口的入站和出站访问策略。默认情况下安全组放行所有入站和出站的流量,为了提高云服务器安全性,建议根据BCC内部服务,开放最小入站访问权限,如非必须,建议禁止服务器出站流量,如需访问外网,则根据需要配置最小放行规则。
ACL是子网级别的防火墙组件,可实现灵活设置一个或多个子网的流量,满足用户不同网络部署的安全需求。
了解详细信息:安全组,ACL,安全组典型实践(入门篇),安全组典型实践(进阶篇)
需求场景2:诊断日志和监控系统
网络问题实时性强,当发生网络抖动或突发异常流量时,通常无法人工收集日志,一旦问题消失则很难定位故障原因,更无法针对潜在问题进行优化。
- 流日志
流日志功能用于记录VPC中云服务器实例发送和接受的网络流信息,可以为用户提供流量分析、可视化、故障诊断/定位以及网络架构调优的能力。
通过流日志可保存故障现场,帮助快速定位网络故障,及时解决问题根源,比如可以快速定位云服务器不可访问是否为安全组或 ACL 设置不合理。
流日志可采集网卡流量,帮助提升数据驱动的网络运维能力,合理优化网络架构,比如分析历史网络数据,构建业务网络基准;及时发现性能瓶颈,合理扩容或流量降级;分析访问用户地域,合理拓展业务覆盖域;分析网络流量,优化网络安全策略。
传统流量检查点的增加,会引起云主机性能下降,流日志可以在不影响云主机性能情况下,及时发现网络安全威胁,提升系统安全性,比如试图连接大范围IP;与已知威胁IP通信;识别出不常用协议。
了解详细信息:流日志
- 云监控BCM
BCM可以帮助用户监控在百度云上使用的各类云产品的健康状态,包括云服务器、云数据库、对象存储、内容分发网络等,还可以通过站点监控、应用监控和自定义监控实现对应用系统更加丰富和灵活的分析与监控,及时掌握业务运行状态,保障业务健康稳定运行。
通过配置报警策略,用户可以在云产品出现异常问题或资源不足时通过短信和邮件第一时间收到报警,并通过对比分析历史监控数据,进一步诊断和解决问题。
BCM无需额外购买和开通,用户注册百度云账号后,便自动开通云监控服务。用户在购买和使用百度云产品后,即可通过云监控管理控制台查看产品运行状态并设置报警。
了解详细信息:BCM
需求场景3:云上网络攻击防护
- 什么是DDoS攻击?
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是指处于分布在不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。当被DDoS攻击时,主要表现为:
(1) 被攻击主机上有大量等待的TCP连接。
(2) 网络中充斥着大量的无用的数据包,源地址为假。
(3) 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
(4) 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
(5) 严重时会造成系统死机。
- DDoS防护
百度智能云免费为云上用户提供基础的DDoS防护能力,满足用户的日常安全运营需求,保证云资源正常可靠的运行。百度智能云用户可免费享受最高 5Gbps 的 DDoS 防护能力(香港地区基础防护为1Gbps)。
可以防护下列攻击:
网络层攻击:
(1)SYN flood攻击;
(2)ACK flood攻击;
(3)FIN/RST flood攻击;
(4)UDP flood攻击;
(5)ICMP flood;
(6)TCP连接耗尽攻击等;
应用层攻击:
(1)有效抵御HTTP get/post flood攻击;
(2)CC 攻击;
(3)HTTP slow header/post攻击等。