作為一個(gè)龐大的軟件帝國(guó),微軟自家官方網(wǎng)站www.microsoft.com的經(jīng)營(yíng)是個(gè)非常有趣的話題,尤其是這么一個(gè)大型網(wǎng)絡(luò)是如何在提供高速數(shù)據(jù)傳輸?shù)耐瑫r(shí)保障自身安全的Jeff Alexander近日就從微軟運(yùn)營(yíng)小組那里獲得了一些“內(nèi)幕資料”,主要是關(guān)于微軟是如何自己使用IIS、Windows Server 2008和防火墻的。
1、其實(shí)www.microsoft.com根本沒有使用防火墻,而且今后也不會(huì)安裝,因?yàn)椴惶幚鞨BI數(shù)據(jù),無(wú)需記錄外部登陸情況。
2、僅僅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB,而且這還不包括每個(gè)下載服務(wù)器每小時(shí)6GB的流量。如果還有防火墻日志,那每天至少得1TB之上了。
3、5年前還沒有可以滿足需要的防火墻方案,所以微軟把重點(diǎn)放在了網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序的安全性上。由于這方面的工作非常成功,盡管現(xiàn)在已經(jīng)有了非常先進(jìn)的防火墻,微軟也不打算采用,因?yàn)槲④洸幌嘈湃魏畏阑饓梢詣偃纹渚W(wǎng)絡(luò)流量負(fù)載:非下載流量8-9Gbps、內(nèi)部網(wǎng)絡(luò)流量約30Gbps。
4、在2006年7月之前,微軟還使用NLB(網(wǎng)絡(luò)負(fù)載平衡)系統(tǒng)處理負(fù)載平衡,而這種方法所需要的網(wǎng)絡(luò)微分段更使得防火墻既昂貴又復(fù)雜。
為了保護(hù)www.microsoft.com,微軟的主要措施有:
1、使用思科的Cisco Guards檢測(cè)拒絕服務(wù)攻擊(DoS)和自動(dòng)響應(yīng)。
2、使用Router ACLs關(guān)閉不必要的端口。
3、www.microsoft.com和MSDN、TechNet都使用NetScalers來(lái)抵御DoS攻擊,update.microsoft.com仍然在使用NLB。
4、早在Windows Server 2008和IIS7還處于Beta測(cè)試階段的時(shí)候www.microsoft.com就已經(jīng)率先全面使用了(確切地說2007年6月12日開始使用IIS7),目前則已更新到RC版,此外MSDN、TechNet正在進(jìn)行遷移,而update.microsoft.com還停留在Windows Server 2003、IIS6,何時(shí)升級(jí)尚未確定。由于Windows本身默認(rèn)啟動(dòng)的無(wú)關(guān)服務(wù)太多,微軟也按照自己公布的安全指導(dǎo)禁用了很大一批。
5、在發(fā)生大規(guī)模SYN攻擊的時(shí)候,NLB系統(tǒng)會(huì)使用自動(dòng)系統(tǒng)監(jiān)視器、網(wǎng)絡(luò)監(jiān)視器來(lái)自動(dòng)捕獲并分析攻擊。NetScalar系統(tǒng)目前尚未這么做,但正在利用空閑時(shí)間進(jìn)行試驗(yàn)。
6、應(yīng)用程序安全方面由ACE負(fù)責(zé)。這是一個(gè)內(nèi)部小組,主要工作是應(yīng)用程序威脅建模。
1、其實(shí)www.microsoft.com根本沒有使用防火墻,而且今后也不會(huì)安裝,因?yàn)椴惶幚鞨BI數(shù)據(jù),無(wú)需記錄外部登陸情況。
2、僅僅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB,而且這還不包括每個(gè)下載服務(wù)器每小時(shí)6GB的流量。如果還有防火墻日志,那每天至少得1TB之上了。
3、5年前還沒有可以滿足需要的防火墻方案,所以微軟把重點(diǎn)放在了網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序的安全性上。由于這方面的工作非常成功,盡管現(xiàn)在已經(jīng)有了非常先進(jìn)的防火墻,微軟也不打算采用,因?yàn)槲④洸幌嘈湃魏畏阑饓梢詣偃纹渚W(wǎng)絡(luò)流量負(fù)載:非下載流量8-9Gbps、內(nèi)部網(wǎng)絡(luò)流量約30Gbps。
4、在2006年7月之前,微軟還使用NLB(網(wǎng)絡(luò)負(fù)載平衡)系統(tǒng)處理負(fù)載平衡,而這種方法所需要的網(wǎng)絡(luò)微分段更使得防火墻既昂貴又復(fù)雜。
為了保護(hù)www.microsoft.com,微軟的主要措施有:
1、使用思科的Cisco Guards檢測(cè)拒絕服務(wù)攻擊(DoS)和自動(dòng)響應(yīng)。
2、使用Router ACLs關(guān)閉不必要的端口。
3、www.microsoft.com和MSDN、TechNet都使用NetScalers來(lái)抵御DoS攻擊,update.microsoft.com仍然在使用NLB。
4、早在Windows Server 2008和IIS7還處于Beta測(cè)試階段的時(shí)候www.microsoft.com就已經(jīng)率先全面使用了(確切地說2007年6月12日開始使用IIS7),目前則已更新到RC版,此外MSDN、TechNet正在進(jìn)行遷移,而update.microsoft.com還停留在Windows Server 2003、IIS6,何時(shí)升級(jí)尚未確定。由于Windows本身默認(rèn)啟動(dòng)的無(wú)關(guān)服務(wù)太多,微軟也按照自己公布的安全指導(dǎo)禁用了很大一批。
5、在發(fā)生大規(guī)模SYN攻擊的時(shí)候,NLB系統(tǒng)會(huì)使用自動(dòng)系統(tǒng)監(jiān)視器、網(wǎng)絡(luò)監(jiān)視器來(lái)自動(dòng)捕獲并分析攻擊。NetScalar系統(tǒng)目前尚未這么做,但正在利用空閑時(shí)間進(jìn)行試驗(yàn)。
6、應(yīng)用程序安全方面由ACE負(fù)責(zé)。這是一個(gè)內(nèi)部小組,主要工作是應(yīng)用程序威脅建模。