互联网上的攻击和扫描流量非常多,为了保证网站安全,在网站之前新增WAF防护是必要的。之前有了解过宝塔云WAF,但需要独立的一台服务器来部署,架构不够灵活,对于个人用户来说成本太高了。后来在微信公众号上看到简单好用的Web安全网关-雷池这篇文章,得知了雷池WAF,基于Nginx开发,以反向代理方式接入,部署架构灵活,可以与WEB服务部署在同一台服务器(官方不推荐),是一款广受好评的社区WAF项目。不过在网站管理上,许多个人用户都是通过宝塔面板进行管理,宝塔面板的Nginx默认监听端口为80和443,这就导致共存部署时雷池WAF默认无法监听80和443端口,那怎么办呢?本文将根据未添加WAF之前源站的监听端口分情况进行介绍。

阅读全文 »

服务器硬件配置推荐


Mater节点

  • 物理机虚拟机均可,至少1台,高可用集群至少2台(etcd集群必须奇数台)
  • 推荐配置:实验环境2核2G、测试环境2核4G、生产环境8核16G
  • 关闭所有swap分区或不划分swap分区
阅读全文 »

为了提升博客的安全性,用https://securityheaders.com/对博客的HTTP响应头进行了检测,不查不知道,一查吓一跳,按照SecurityHeaders的评分标准只获得了D级别(最低F,最高A+),因此决定对博客的HTTP响应头进行一次规范化处理并记录全过程。

阅读全文 »

有用户在上云的过程中,购买了多台云服务器,并且考虑到成本的问题,只给其中一台云服务器购买了公网IP,但是用户又想要所有的云服务器都可以访问互联网。对云服务熟悉的都知道,有一个云产品叫做NAT网关,可以完美的解决这个问题。可是如果用户不愿意再多购买NAT网关呢?本文主要介绍如何使用iptables来手动实现上述需求,同时还可以将内网云服务器上的服务暴露到互联网上。

阅读全文 »

IPv6是下一代网络协议,提供了比IPv4更多的地址空间,并允许更好的支持多播和安全性。但是在某些情况下,禁用IPv6可能是必要的。本文将介绍在CentOS中关闭IPv6的几种方法

阅读全文 »

演示环境


IPv6网段 IPv6地址 IPv6网关
2408:8648:7700:0005:0000:0000:0000:0000/64 2408:8648:7700:5::318 2408:8648:7700:5::1

说明
以下步骤中的eth0要换成自己的网口名称

阅读全文 »

问题描述


同事在各地市有多台带有IPv6公网地址的服务器,相互之间在做一些拉流和推流的测试,后来考虑到安全问题,想通过ip6tables做一些安全策略,防止完全暴露到公网上遭受攻击,可是按照IPv4的逻辑收敛好端口后,发现策略没有生效,在白名单内的机器也无法正常访问。

阅读全文 »
0%