我们有以下类型的设置:
internet ---> Load balancer ---> 6 nginx instances ---> 15 Tomcat instances
此设置上有非常大的网络流量。我们希望过滤掉所有款待和DoS攻击。我的意思是我们希望保护此设置免受所有漏洞的影响。
此处需要什么样的安全性?这是起点吗?也许在每个nginx实例上?
答案 0 :(得分:0)
有多种方法可以做到这一点。我将分享几个常见的:
- 您可以尝试在负载均衡器上限制请求(速率限制)。
- 使用iptables在所有实例上添加额外的安全性
- 如果可能,将您的一些实例(例如数据库)放在私有子网中,只放置那些需要与公共子网中的互联网进行交互的实例(例如负载均衡器)
- 记录请求以便轻松阻止IP地址
- 对于更高级的设置,您可以让iptables通过入侵检测和日志分析(例如psad)对请求做出“反应”
起点是您的负载均衡器,但重要的是假设您的负载均衡器可以被利用(而不仅仅是DDoS),因此请确保您已经强化了所有实例以减缓攻击者的速度。
以上建议取决于您的设置。例如,如果您使用ELB(AWS Elastic Load Balancer),则策略会有所不同。