作為一個龐大的軟件帝國，微軟自家官方網(wǎng)站www.microsoft.com的經(jīng)營是個非常有趣的話題，尤其是這么一個大型網(wǎng)絡(luò)是如何在提供高速數(shù)據(jù)傳輸?shù)耐瑫r保障自身安全的Jeff Alexander近日就從微軟運營小組那里獲得了一些“內(nèi)幕資料”，主要是關(guān)于微軟是如何自己使用IIS、Windows Server 2008和防火墻的。

1、其實www.microsoft.com根本沒有使用防火墻，而且今后也不會安裝，因為不處理HBI數(shù)據(jù)，無需記錄外部登陸情況。

2、僅僅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB，而且這還不包括每個下載服務(wù)器每小時6GB的流量。如果還有防火墻日志，那每天至少得1TB之上了。

3、5年前還沒有可以滿足需要的防火墻方案，所以微軟把重點放在了網(wǎng)絡(luò)、主機和應(yīng)用程序的安全性上。由于這方面的工作非常成功，盡管現(xiàn)在已經(jīng)有了非常先進的防火墻，微軟也不打算采用，因為微軟不相信任何防火墻可以勝任其網(wǎng)絡(luò)流量負載：非下載流量8-9Gbps、內(nèi)部網(wǎng)絡(luò)流量約30Gbps。

4、在2006年7月之前，微軟還使用NLB(網(wǎng)絡(luò)負載平衡)系統(tǒng)處理負載平衡，而這種方法所需要的網(wǎng)絡(luò)微分段更使得防火墻既昂貴又復(fù)雜。

為了保護www.microsoft.com，微軟的主要措施有：

1、使用思科的Cisco Guards檢測拒絕服務(wù)攻擊(DoS)和自動響應(yīng)。

2、使用Router ACLs關(guān)閉不必要的端口。

3、www.microsoft.com和MSDN、TechNet都使用NetScalers來抵御DoS攻擊，update.microsoft.com仍然在使用NLB。

4、早在Windows Server 2008和IIS7還處于Beta測試階段的時候www.microsoft.com就已經(jīng)率先全面使用了(確切地說2007年6月12日開始使用IIS7)，目前則已更新到RC版，此外MSDN、TechNet正在進行遷移，而update.microsoft.com還停留在Windows Server 2003、IIS6，何時升級尚未確定。由于Windows本身默認啟動的無關(guān)服務(wù)太多，微軟也按照自己公布的安全指導(dǎo)禁用了很大一批。

5、在發(fā)生大規(guī)模SYN攻擊的時候，NLB系統(tǒng)會使用自動系統(tǒng)監(jiān)視器、網(wǎng)絡(luò)監(jiān)視器來自動捕獲并分析攻擊。NetScalar系統(tǒng)目前尚未這么做，但正在利用空閑時間進行試驗。

6、應(yīng)用程序安全方面由ACE負責。這是一個內(nèi)部小組，主要工作是應(yīng)用程序威脅建模。

標簽： 安全 防火墻 服務(wù)器 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。