大规模计算
安全与管理
开发者论坛
推荐架构方案
日均PV 0-1W
网站初始阶段并发访问量小，只需要一台低配置的服务器即可，应用程序、数据库、文件等所有资源均在一台服务器上...
网站初始阶段并发访问量小，只需要一台低配置的服务器即可，应用程序、数据库、文件等所有资源均在一台服务器上...
网站初始阶段并发访问量小，只需要一台低配置的服务器即可，应用程序、数据库、文件等所有资源均在一台服务器上，后期可以基于ECS弹性特征随时调整资源配置，无需担心低配服务器在业务突增时带来的资源不足问题。
日均PV 1-10W
随着网站业务发展，越来越多的用户访问导致性能降低、空间不足等问题...
随着网站业务发展，越来越多的用户访问导致性能降低、空间不足等问题...
随着网站业务发展，越来越多的用户访问导致性能降低、空间不足等问题，此时就需要对带宽、内存、CPU进行优化，以便提供更大的空间，提升访问速度。
日均PV 10-20W
网站访问和财富分配一样遵循2-8定律，80%的业务集中在20%的数据上，此时需要将应用和数据分离...
网站访问和财富分配一样遵循2-8定律，80%的业务集中在20%的数据上，此时需要将应用和数据分离...
网站访问和财富分配一样遵循2-8定律，80%的业务集中在20%的数据上，此时需要将应用和数据分离，应用服务器需要处理大量业务逻辑，需要更强大的CPU，数据库服务器需要更多的内存，如中小型RDS。
日均PV 20-50W
使用群集是解决高并发，海量数据的通常手段，对于这种类型的网站而言，不管多么强大的服务器都满足不了持续增长的业务需求...
使用群集是解决高并发，海量数据的通常手段，对于这种类型的网站而言，不管多么强大的服务器都满足不了持续增长的业务需求...
使用群集是解决高并发，海量数据的通常手段，对于这种类型的网站而言，不管多么强大的服务器都满足不了持续增长的业务需求，这种情况下，需要增加服务器来分担原有压力，通过SLB负载均衡服务来实现请求分发。
日均PV 大于50W
使用缓存后，数据库仍有写操作，此时需要数据库读写分离，或在业务上做数据库的垂直拆分，通过创建多个RDS实例的方式分担负载...
使用缓存后，数据库仍有写操作，此时需要数据库读写分离，或在业务上做数据库的垂直拆分，通过创建多个RDS实例的方式分担负载...
使用缓存后，数据库仍有写操作，此时需要数据库读写分离，或在业务上做数据库的垂直拆分，通过创建多个RDS实例的方式分担负载，使用CDN提高网站响应速度，使用OSS提升文件服务器的存储空间，提升文件服务器的数据吞吐能力，同时使用OCS开放缓存服务，提高热点数据访问速度，降低数据库负载。
看谁在云上，了解更多不同社区网站站上云端的故事
阿里云最大程度地解决了我的“后顾之忧”，我可以把更多的精力放在网站内容的整理上。“上云”之后网站进行了界面上的重新调整，也加大了图片量的分享，在网站内容增加的情况下，用户反映“速度变快了”。从搭建服务器环境到备案转移，从售后技术的快速支持到简单有效的带宽升级，阿里云对于个人站长的帮助高效而有力！
―――苏打苏塔
使用云产品
在性价比、安全、稳定、服务方面，阿里云在国内云服务商是是首屈一指的。选择阿里云，对于草根站长来说就是选择踏实。自从用了阿里云的服务器之后，再也不用担心黑客的威胁了，云盾和防ddos攻击服务是草根站长们的坚实后盾和安全保障。希望更多的创业者、开发者、中小企业用户使用阿里云的产品，站上云端。
―――青州论坛
使用云产品
从2012年开始，就想跟更加专业的云服务商进行合作。综合对比下来，觉得阿里云的云服务在目前的云主机里是做得比较好的，速度和稳定性方面都很好。
―――it007（小熊在线）
使用云产品
2013年7月迁移，当时自己机房带宽出现问题，原来用的是百兆共享，与他同机房的网站中病毒了，挤占了他们的带宽，致使网站访问速度很慢，阿里云最大优点就是比较灵活，带宽独享，随时升级，云盾防攻击强，每天扫描程序漏洞，安全稳定
―――回龙观
使用云产品
有效并低成本地解决了单点故障问题，不用再担心服务器硬件故障、不用再操心服务器运维、不用再跑机房，如释重负之后可以把更多精力投入在自己的核心业务上
―――博客园
使用云产品
工具与服务
5分钟快速的环镜部署，方便快捷的工具及7*24小时贴心运维服务，提高您的管理及运维效率，多途径为您上云保驾护航。* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
Win8系统突破性地增加了全新界面、内置Windows Store、支持ARM架构等诸多全新设计。
手机整机DIY企业级
pc软件手机软件Advertisement
网站遭遇DDoS攻击的解决方案
导读：当网站遭遇DDoS攻击时你该怎么办？本文将完整地讲述遭遇DDoS攻击的过程，并为你提供解决方案。关键词：&&&&
　　一、事件发生　　春节长假刚过完，WEB就出现故障，下午1点吃完回来，立即将桌面解锁并习惯性的检查了Web服务器。通过Web服务器性能监视软件图像显示的向下滑行的红色曲线看到WEB出现问题了。　　根据上述的问题，我马上开始核查Web服务器的日志，试试是否能检测到问题究竟什么时候开始，或者发现一些关于引起中断的线索。正当查询线索过程中。公司首席运营官(CIO)告诉我，他已经接到客户的投诉电话，报告说无法访问他们的网站。于是从台式机中敲入网站地址,试着从台式电脑访问他们的网站，但是看到的只是无法显示此页面的消息。　　回想前几天也未对Web服务器做了任何改变也未对Web服务器做过任何改变，服务器曾经出现过的性能问题。在Web服务器的日志文件中没有发现任何可疑之处，因此接下来我去仔细查看防火墙日志，和路由器日志。仔细查看了防火墙日志，打印出了那台服务器出问题时的记录。并过滤掉正常的流量并保留下可疑的记录。表中显示了打印出来的结果。　　表一 防火墙日志　　之后在路由器日志上做了同样的工作并打印出了看上去异常的记录。　　攻击期间的路由器日志图一　　解释：　　IP packet sizedistribution 这个标题下的两行显示了数据包按大小范围分布的百分率。这里显示的内容表明：98.4%的数据包的大小在33字节到64字节之间（注意红色标记）。　　正常路由日志图二　　IP packet sizedistribution 这个标题下的两行显示了数据包按大小范围分布的百分率。这里显示的内容表明：2%的数据包的大小在33字节到64字节之间。　　注意网站的访问量直线下降。很明显，在这段时间没人能访问他的Web服务器。我开始研究到底发生了什么，以及该如何尽快地修复。　　二、事件分析　　我的Web服务器发生了什么？很有可能攻击，那么受到什么样的攻击呢？从这一攻击是对回显端口看，即是端口7，不断发送小的UDP数据包来实现。攻击看似发自两个策源地，可能是两个攻击者同时使用不同的工具。在任何情况下，超负荷的数据流都会拖垮Web服务器。然而攻击地址源不确定，不知道是攻击源本身是分布的，还是同一个地址伪装出许多不同的IP地址，这个问题比较难判断。假如源地址不是伪装的，是真实地址，则可以咨询ARIN I美国Internet号码注册处，从它的"whois"数据库查出这个入侵1P地址属于哪个网络。接下来只需联系那个网络的管理员就可以得到进一步的信息。　　那么假如源地址是伪装的，追踪这个攻击者就麻烦得多。若使用的是Cisco路由器，则还需查询NetFlow高速缓存。NetFlow是Cisco快速转发(CEF)交换框架的特性之一。为了追踪这个伪装的地址，必须查询每个路由器上的NetFlow缓存，才能确定流量进入了哪个接口，然后通过这些路由器一次一个接口地往回一路追踪，直至找到那个IP地址源。然而这样做是非常难的，因为在Web Server和攻击者的发起pc之间可能经由许多路由器，而且属于不同的组织。另外，必须在攻击正在进行时做这些分析。　　经过分析之后，将防火墙日志和路由器日志里的信息关联起来，发现了一些有趣的相似性，如表黑色标记处。攻击的目标显然是Web服务器192.68.0.175，端口为UDP 7，即回显端口。这看起来很像拒绝服务攻击(但还不能确定，因为攻击的分布很随意）。地址看起来多多少少是随意而分散的，只有一个源地址是固定不变的，其源端口号也没变。这很有趣。接着又将注意力集中到路由器日志上。　　立刻发现，攻击发生时路由器日志上有大量的64字节的数据包，而此时Web服务器日志上没有任何问题。他还发现，案发时路由器日志里还有大量的"UDP-other"数据包，而Web服务器日志也一切正常。这种现象与基于UDP的拒绝服务攻击的假设还是很相符的。　　攻击者正是用许多小的UDP数据包对Web服务器的回显(echo 7)端口进行洪泛式攻击，因此他们的下一步任务就是阻止这一行为。首先，我们在路由器上堵截攻击。快速地为路由器设置了一个过滤规则。因为源地址的来源很随机，他们认为很难用限制某个地址或某一块范围的地址来阻止攻击，因此决定禁止所有发给192.168.0.175的UDP包。这种做法会使服务器丧失某些功能，如DNS，但至少能让Web服务器正常工作。　　路由器最初的临时DoS访问控制链表(ACL)　　这样的做法为Web服务器减轻了负担，但攻击仍能到达web，在一定程度上降低了网络性能。 那么下一步工作是联系上游带宽提供商，想请他们暂时限制所有在他的网站端口7上的UDP入流量。这样做会显著降低网络上到服务器的流量。　　三、针对DoS预防措施　　对于预防及缓解这种带宽相关的DoS攻击并没有什么灵丹妙药。本质上，这是一种"粗管子打败细管子"的攻击。攻击者能"指使"更多带宽，有时甚至是巨大的带宽，就能击溃带宽不够的网络。在这种情况下，预防和缓解应相辅相成。　　有许多方法可以使攻击更难发生，或者在攻击发生时减小其影响，具体如下：网络入口过滤& 网络服务提供商应在他的下游网络上设置入口过滤，以防止假信息包进入网络（而把它们留在Internet上）。这将防止攻击者伪装IP地址，从而易于追踪。网络流量过滤& 过滤掉网络不需要的流量总是不会错的。这还能防止DoS攻击，但为了达到效果，这些过滤器应尽量设置在网络上游。网络流量速率限制& 一些路由器有流量速率的最高限制。这些限制条款将加强带宽策略，并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先缓解正在进行的攻击，同时，这些过滤器应尽量设置在网络上游（尽可能靠近攻击者）；入侵检测系统和主机监听工具& IDS能警告网络管理员攻击的发生时间，以及攻击者使用的攻击工具，这将能协助阻止攻击。主机监听工具能警告管理员系统中是否出现DoS工具单点传送RPF& 这是CEF用于检查在接口收到的数据包的另一特性。如果源IP地址CEF表上不具有与指向接收数据包时的接口一致的路由的话，路由器就会丢掉这个数据包。丢弃RPF的妙处在于，它阻止了所有伪装源IP地址的攻击。　　针对DDoS预防措施　　看了上面的实际案例我们也了解到，许多DDoS攻击都很难应对，因为搞破坏的主机所发出的请求都是完全合法、符合标准的，只是数量太大。借助恰当的ACL，我们可以阻断ICMP echo请求。但是，如果有自己的自治系统，就应该允许从因特网上ping你。不能ping通会使ISP或技术支持团队（如果有的话）丧失某些故障排解能力。也可能碰到具有Cisco TCP截获功能的SYN洪流：　　如果能采用基于上下文的访问控制(Context Based Access Control,CBAC)，则可以用其超时和阈值设置应对SYN洪流和UDP垃圾洪流。例如：　　警告：建议不要同时使用TCP截获和CBAC防御功能，因为这可能导致路由器过载。　　打开Cisco快速转发(Cisco Express Forwarding，CEF)功能可帮助路由器防御数据包为随机源地址的洪流。可以对调度程序做些设置，避免在洪流的冲击下路由器的CPU完全过载：　　在做了这样的配置之后，IOS会用3s的时间处理网络接口中断请求，之后用1s执行其他任务。对于较早的系统，可能必须使用命令scheduler interval&milliseconds&。　　四、总结　　无论是出于报复、敲诈勒索、发起更大规模攻击,DoS或DDoS攻击都是一种不容轻视的威胁。非同一般的DoS攻击通常是某种不完整的漏洞利用，使系统服务崩溃，而不是将控制权交给攻击者。防范这种攻击的办法是及时打上来自厂商的补丁，或者对于Cisco系统，及时将操作系统升级到更新版本。同时，要关闭有漏洞的服务，或者至少要用访问控制列表限制访问。　　常规的DoS攻击，特别是DDoS攻击，经常不是那么有章法，也更难防范。如果整个带宽都被蹩脚的ping洪流所耗尽，我们所能做的就很有限了。最后，必须与ISP和权力部门协作，尽可能从源头上阻止攻击。要用不同供应商、不同AS路径并支持负载均衡功能的不止一条到因特网的连接，但这与应对消耗高带宽的常规DoS/DDoS洪流的要求还相差很远。我们总是可以用CAR或NBAR来抛弃数据包或限制发动进攻的网络流速度，减轻路由器CPU的负担，减少对缓冲区和路由器之后的主机的占用。
原文出处：/art/285.htm
一般来说，恶意软件只是进入系统的切入点，通过下载和安装其他应用来获取管理权限，完成攻击。然而，随着网络安全战的持续胶着，威胁环境日益复杂，恶意软件也在连番升级。
为了保持攻击性和赚取利益，恶意软件编写者将会采用高级逃避技术，并增加新功能来满足其客户的要求……那么，在恶意软件连番升级的背景下，企业又当如何应对呢？
端点反恶意软件保护是一种积极阻止恶意软件感染计算机的应用。在很多这样的产品中，这种安全技术会延伸到虚拟桌面和移动设备，以及工作站和笔记本电脑……
业界观察家说，Regin恶意软件潜伏了长达五年以上，其被曝光足以突显优化检测方法的必要性。
恶意软件正越来越多地使用看似真实的数字证书，在本文中，专家Nick Lewis分享了该如何检测欺诈证书。
TechTarget中国官方微信
Linux的安全性是企业构筑安全应用的重中之重，本技术手册介绍了Linux服务器安全的技巧和工具。
正确执行的渗透测试是秘密的测试，其中由咨询人员或者内部人员扮演恶意攻击者，攻击系统的安全性。因为最终目的是渗透，这种测试不会发出警告，完全保密（当然，上层管理人员同意进行测试并且理解秘密的要求）。理想的是，应该没有来自企业的支持……或者，最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客，以及渗透测试的作用和执行方式，此外，希望本指南也能为想要成为渗透测试人员，也就是道德黑客的技术人员提供帮助。
假如你正在寻找一个漏洞扫描器，你可能已经遇到了大量的非常昂贵的商业解决方案，这些方案都有一长串的性能和优点。不幸的是，如果你和我们之中大部分人的情况一样的话，你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次，转向考虑使用像SATAN或Saint的免费工具。然而，你可能觉得使用这些工具是一种折衷的办法，因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus！ 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3，引进了对该产品的全面检查。在写这篇文章时候的最近版本，Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用，包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化： 下面将介绍如何使用Nessus工具以及Nessus工具的更新。
目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重，传统防火墙越来越力不从心，下一代防火墙顺势而来。
Nmap是一个著名的开源工具，它是在20世纪90后期出现的。2003年，在电影《黑客帝国2》中Tritnity曾用Nmap&2.54BETA25版攻击SSH&服务器，&破坏发电厂的安全，Nmap因此受到了普遍关注。在现实生活中，Nmap主要用于确定网络上的主机，主机提供的服务，以及扫描网络的开放端口等等。Nmap是安全专家用以映射他们的网络和测试安全漏洞的有价值的工具，有人担心黑客帝国中的情况的出现，因为Nmap也是恶意黑客的利用的工具，被用来查找可以攻击的开放端口。本专题将给安全专家提供一些指南，包括在企业环境中，如何在windows和Linux平台上安装Nmap，以及Nmap的设置，运行和评估。&拒绝攻击 服务器网站安全一站解决方案
网站发展迅速 但面临严峻安全问题
中小企业网站发展趋势
咨询机构预计2012年中国中小企业的数量将达到5000万家，其中拥有网站的企业数量将达到530万家，服务器托管租用已成为各中小企业的重要组成部分，企业应用不断发展需要，服务器的应用也开始普及起来。更多的企业通过网站来展示、推广，并从中获得订单等收益。同时蓬勃发展的中小企业网站服务器托管租用等，也为IDC产业带来了无限生机。
网站安全面临严峻问题
在看到中小企业网站蓬勃发展，IDC产业潜力无限的同时，我们更应该看到的是摆在网站面前的安全问题。2011年多家互联网站用户数据库被黑客公开，超过5000万个用户帐号和密码在网上流传。在业内享有一定地位的CSDN网站数据库也开始在网上被疯狂转发，包括600余万个明文的注册邮箱和密码泄露。此后，又有几家网站用户数据库被相继公开，更有媒体曝光杀软金山毒霸网站遭黑客&拖库&，&拖库&危机将网站安全推向了最高峰。那么网站最常见有哪几种安全危机呢：
所谓的挂马，就是黑客通过各种手段，修改网站页面的内容，向页面中加入恶意转向代码。当用户访问被加入恶意代码的页面时，用户就会自动的访问被转向的地址或者下载木马病毒。目前，游戏网站最容易被挂马，黑客目的就是盗取浏览该网站玩家的游戏账号。还有一些大型网站也是黑客挂马的重要目标，目的是为了搜集大量的肉鸡。
网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。如果不小心进入了已被挂马的网站，则会感染木马病毒，以致丢失大量的宝贵文件资料和账号密码，其危害极大。
篡改网页多见于一些公众、时事热点、非营利性网站，黑客往往并非为了个人金钱利益而做。这种网站或者本身用户众多，或者是时事焦点，比方说某奶企被黑客质问&自己的烂皮鞋有没有被拿去做老酸奶&。篡改网页传播速度相对很快，阅读人群多，短时间内会有大量用户覆盖。篡改后的页面复制很容易，事后想消除影响比较难。预先检查和实时防范较难。作案环境和工具相对简单。
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，达到欺骗服务器执行恶意的SQL命令，最终使网站遭遇&拖库&的厄运。大批受影响用户为此连夜修改密码。
目前，黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙，攻入Web网站的内部，窃取信息。黑客可以仅凭借浏览器和几个技巧，即套取Web网站的客户信用卡资料和其它保密信息。随着防火墙和补丁管理已逐渐走向规范化，各类网络设施应该是比以往更完全。但不幸的是，道高一尺，魔高一丈，黑客们已开始直接在应用层面对Web网站下手。市场研究公司Gartner的分析师指出，目前有70%的黑客袭击事件都发生在应用程序方面。
安全狗&&免费的网站安全看门狗
中小企业网站发展势头迅猛，潜力巨大，但是网站安全形势也非常严峻，刻不容缓。尤其对于在网站方面没有太多预算的中小企业，如何既能保证网站健康运转，并持续不断的为自身带来效益，同时又尽可能的减少投资，是中小企业网站面临的重大挑战。对于网站安全，什么才是投资底线?国内知名软件厂商安全狗用&免费&来回答你!
网站安全狗windows版
IIS版 本：V2.3 正式版 大小：18.9MB
更新时间：
运行环境：Win2003 IIS6.0/Win2008 IIS7.0(需开启IIS6.0兼容模块)
如果您的网站架设在IIS上，请下载该版本
Apache版本：V1.0 正式版 大小：15.0MB
更新时间：
运行环境：Windows操作系统，Apache2.0/Apache2.2
如果您的网站架设在Apache上，请下载该版本
网站安全狗Linux版
版 本：V1.0.0 大小：5.95MB
更新时间：
运行环境：软件当前版本支持的linux服务器的操作系统包括：centos 5.3、RHEL 5.0、Ubuntu 11.04，其它版本号的支持，未经过完整测试。确保安装有apache server 2.0以上版本，否则软件中的功能无效。
相关报道：
新闻热线：010-
责任编辑：任光飞
名企动态： |
标志着Windows迈出个性化计算的第一步……
本站特聘法律顾问:于国富律师
Copyright (C) 1997-}