改造内部http应用，防止DDOS攻击（设计规划篇）

分布式拒绝服务（DDoS:Distributed Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

通常情况下，一些企业或组织客户会将一些内部B/S应用放到公网上，内部员工或业务人员通过客户端浏览器对业务系统进行http方式进行访问或操作。

基于某些原因，这一类内部业务系统总是很受黑客或好事者欢迎，特别是像上面这种使用未经加密进行http透明传输的，往往成为被DDOS攻击的对象。

为避免遭受DDOS攻击致使业务系统被云盾打入黑洞而中断访问，建议将相关业务进行SSL VPN 改造，大致步骤如下：

一、        新建SSL VPN 应用
1.1        购买SSL VPN原始厂商镜像服务器，通常情况下，厂商不会收费，你付的费用是ECS服务器本身的费用。

特别注意：购买时，请选择与你原http应用在同一地域的镜像ECS！

可供选择的有：
深信服 SSL / IPSec VPN镜像ECS
https://market.aliyun.com/products/56812015/cmjj007031.html

Array SSL VPN 镜像ECS
https://market.aliyun.com/products/56812015/cmjj006220.html


1.2        购买SSL VPN原始厂商 license
相关链接：

深信服 SSL / IPSec VPN license
https://market.aliyun.com/products/56812015/cmfw007765.html

Array SSL VPN license
https://market.aliyun.com/products/56812015/cmfw007482.html

1.3        激活SSL VPN原始厂商 license


二、        改造http 对应的ECS服务器
2.1        设置内网安全按规则，确保应用服务器的80端口可以被SSL VPN服务器访问
2.2        检查或调整应用服务器配置，确保该服务器的http应用可以被SSL VPN服务器访问
2.3        关闭应用服务器在公网上的80端口

三、        发布SSL VPN 内网应用
3.1        参照相关厂商说明手册进行SSL VPN配置

深信服SSL VPN快速配置文档.pdf
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2015-11-20/%E6%B7%B1%E4%BF%A1%E6%9C%8DSSL%20VPN%E5%BF%AB%E9%80%9F%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

金融云Array SSL VPN 配置文档
http://gongdan.oss-cn-hangzhou.aliyuncs.com/market/cmISV/%E4%B8%8B%E8%BD%BD/2016-1/%E9%87%91%E8%9E%8D%E4%BA%91Array%20SSL%20VPN%20%E9%85%8D%E7%BD%AE%E6%96%87%E6%A1%A3.pdf

3.2        参照相关厂商说明手册进行SSL VPN内网应用发布
3.3        授权内部用户组及权限，成功将原公网http应用转移到SSL VPN通道上进行访问

一切OK，原地址或域名上的http应用（TCP 80端口）已经全然关闭，好事者你来吧！想咬我？！

哈哈^^^

本文经宝商科技生产与技术部审核通过，原文链接：
http://www.bskj.net/%E6%94%B9%E9%80%A0%E5%86%85%E9%83%A8http%E5%BA%94%E7%94%A8%EF%BC%8C%E9%98%B2%E6%AD%A2ddos%E6%94%BB%E5%87%BB%EF%BC%88%E8%AE%BE%E8%AE%A1%E8%A7%84%E5%88%92%E7%AF%87%EF%BC%89/

联系原作者，请访问： http://www.bskj.net
宝商科技
2016-07-22