金沙澳门官网网址_金沙国际登陆

欢迎加入金沙澳门官网网址体验更多不一样的精彩.,金沙国际登陆提供最丰厚回馈!,因为金沙澳门官网网址这里的游戏是多种多样的,为大家打造一个最专业的化的超级五星酒店。

金沙澳门官网网址 > 服务器运维 > 商用软件未必解决问题,如何加固外网上的IIS服

原标题:商用软件未必解决问题,如何加固外网上的IIS服

浏览次数:112 时间:2019-11-12

第七届开源中国开源世界高峰论坛29日下午的演讲中,阿里集团的高级研究员与副总裁核心系统负责人章文嵩先生给大家带来了“开源+自主开发淘宝软件基础设施构建实践”的主题演讲。

关于IIS服务器的安全主要包括六步:

本部分将学习使用Virtual Machine Manager工具创建虚拟机。

章文嵩的演讲主要分享了阿里巴巴在底层基础平台建设方面的一些经验。从整体上看分为如下几个议题,首先介绍了淘宝网的一些情况,然后介绍了淘宝网目前在软件基础设施中的部署情况。

1、使用安全配置向导(Security Configuration Wizard)来决定web服务器所需的最小功能,然后禁止其他不需要的功能。具体地说,它能帮你

创建虚拟机的步骤在Linux版本之间是相当不同的。例如,Ubuntu服务器提供Xen工具——一个棘手的命令行解决方案,在它里面创建一个配置文件,并使用有许多选项的命令更多信息请参加下篇文章)。相反,由于有图形Virtual Machine Manager工具,Red Hat和SUSE创建虚拟机更容易。

图片 1

1>禁止不需要的服务

Virtual Machine Manager在半虚拟化或完全虚拟化环境里都可以使用。使用Virtual Machine Manager创建虚拟机后,你也能从工具里启动和监视虚拟机。不过,一些比较高级的选项在Virtual Machine Manager里不可用。例如在节点之间创建虚拟机的选项或一个高可用性解决方案的创建。

阿里集团的高级研究员与副总裁核心系统负责人章文嵩

2>堵住不用的端口

使用Xen创建虚拟机

提到淘宝网,可能很多人都知道他是一个网络购物的代名词,有市场报告显示,去年淘宝网交易额是7800多亿,淘宝网占7层份额,淘宝网上面大概有七八百万卖家创造了直接的就业机会,职业就业机会270多万个,淘宝网的网络流量,目前基本上在13名左右。第一名是谷歌,第二名是FACEBOOK,这个排名会随时变动,比如做大促销的时候,有可能冲到11名,过年网络购物少的时候可能降到18名,目前国内是第3名。支撑网站排名背后的流量一天现在大概700多万个访客,跟踪帐户登陆,有700多万个,去年双12大促一天有1.25亿人访问,那时候CDN访问流量856G,整个淘宝网页一天25亿,淘宝网站上有800多个应用。针对这样的规模搭建基础设施也并不容易,我淘宝网的基础设施每年在不断的发展,可能以百分之七八十速度在增长。

3>至于打开的端口,对可以访问的地址和其他安全做进一步的限制

在下面的步骤中,我们将学习在SUSE Linux Enterprise 10 SP1 虚拟化主机上如何安装一个准虚拟化的SUSE Linux Enterprise Server 10 SP1 实例。

淘宝的基础设施,最上面是CND系统,在全国布很多点,让用户访问家门口的机器,中间是交易平台,背后是基础设施软件,存储系统,数据库,包括海量数据处理平台和资源调度平台,左侧有淘宝的搜索,淘宝上有十几亿商品,用户进来要搜索,我们要做到实时搜索,比如用户变更了价格,在搜索引擎里几秒钟要反映出来,卖家变更一些信息之后往往自己上去查,如果查不到自己就会投诉;右侧是广告系统,是收入的主要来源,还有数据挖掘平台。在基础软件上,我们分很多层次来做,最底下的是硬件,我们对硬件进行定制,我们对各种储存介质非常了解,我们在低功耗处理器、CPU方面定制专门机器,降低功耗比,或者降低成本。

4>如果可行,禁止不需要的IIS的web扩展

1.确保你的服务器启用了Xen内核。接下来,运行virt-manager命令开启Virtual Machine Manager。将会出现如下图1中的界面。

我们有一个内核的团队,几万台服务器支撑淘宝网,我们根据应用的特点做优化,过去Apache用的比较多,我们还有数据库团队,这是目前在单机上做的事情。上面是分布式系统,多机环境,有分布式存储,像TFS、分布式表格系统,还有图像搜索团队,图像搜索输入一张照片,我们有CDN分发系统,还有海量数据的计算,包括旺旺平台,现在将近一千万同事在线,虚拟化管理,负载均衡,包括网络的解决方案。现在采用的软件基本都是开源加自主开发的,比如CDN,我们可以说它是世界上最大的面向图像的CDN系统,送照片就送856G流量,上面都是拿开源软件做的,我们做成了一个自主开发的CDN系统,今年会建到2400G,按照淘宝流量的增长,能力到2400G,实际的量可能会在2000G左右。

5>减小对SMB,LAN Manager,和LDAP协议的显露

图片 2 

TFS是自主开发的分布式对象存储系统,目前有6.2P存储空间,实际用了4P多,今年会建设到12P。每G存储成本会逐渐下降,今年到2.5元。Oceanbase,一张表格里大概有120亿条的收藏记录。核心数据库,采用开源的MySQL,机上高速的非易先存储,以及多层级优化。旺旺平台,自主开发。底层的支撑软件,在OpenJDK基础上开发和维护Taoboo JVM,在LVS基础上实现负载均衡解决方案,用开源软件实现了高流量的网络镜像项目,可以说淘宝整个平台是建在开源软件加自主开发的基础上,核心系统没有商用软件,淘宝不是第一天是这个样子的,我们讲一个事例。

6>定义一个高信噪比的对策

图1:Virtual Machine Manager为所有在同一台物理服务器上的虚拟机提供一个界面

淘宝最早是做交易网站的,一块是都是花钱解决问题,最终花钱解决不了问题了,不得不自己走上这条道路,我们可以拿三个事例来说明,图片存储,淘宝上有很多商品,卖家拍了很多商品照片,平均一个商品可能有三四十张以上的图片,一开始花钱解决问题,买的是NAS系统,然后往里面放,到2006年的时候,从最低端升级到最高端设备,因为是笑图片,最高端的存储控制没用完,但是文件个数已经用爆了,数目不够,工程师说一台放不下买两台,两台放不下放四台,我们自己知道这个不是解决办法,因为成本很高,那时候10T存储空间就要几百万,我们自己做了一个面向图片存储的管理系统,在架构上我们做了一些取舍,分布式文件系统由原数据服务器、数据服务器两部分组成,对于互联网图片数据来说,用户并不关心文件名是什么、路径是什么,只是在网页里能把图片展示出来,我们把目录空间抛弃掉了,我们做了取舍,没有目录空间,做了对象存储,你要放进来一个对象,自己还不能起名字,是我们赋予的,这样可以做到非常高速,比如中间有一个图片名字,一般人看不懂,原数据可以变的很简单,直接可以映射到物理机器,原数据很简单,数据量很少,分布式系统里原数据一定是最终瓶颈,做的越简单可扩展性越好。

2、把网站文件放在一个非系统分区(partition)上,防止directory traversal的缺陷,对内容进行NTFS权限稽查(Audit)。

2.从Virtual Machine Manager界面起,全部点击“New”。开启虚拟机创建向导。从向导的开启界面起,点击“Forward”

上线一用规模可能就大了一个数量级,后续逐渐优化,增加各种功能,现在TFS也开源了,2.0版本,我们还在持续优化,我们内部都有指标。淘宝CDN系统,一开始也是花钱解决问题,最早淘宝CND系统都是买商用负载均衡器,因为是图片,随即访问,后来逐步改造,用开源的软件,包括混合存储,原来建6G要花掉200多万,去年建10G35万就可以做到了,2010年光KPI就节约了1亿多,因为规模大了,稍微优化一下就可以节约1亿多,这里面我们提了很多做法,以后我们会有大型的节点,在调度力度和用户体验上都会做进一步优化。

3、对自己的系统定期做安全扫描和稽查,在别人发现问题前尽早先发现自己的薄弱处。

3.这个向导现在问你想做什么。如果你想要安装一个全新的操作系统,选择“I need to install an operating system”。如果你想要使用操作系统上已经预安装好的磁盘或磁盘镜像,选择“I have a disk or disk image with an installed operating system”,如图2所示。

第三是淘宝核心数据库,最后一个被拔掉的,最早拿IBM小型机、思科商用数据库、EMC高端存储,好处是功能比较强大,缺点就是比较贵。2008年开始使用MySQL数据库,2011年组建了自己MySQL开发团队,开发团队只有8人,去年最早把商品库换掉了,十亿多个商品,交易数据库过去2000万IOE解决方案,那时候每秒钟只能做3000笔交易,2011年原定目标是平台要做到5000笔交易就能支撑业务的发展。

4、定期做日志分析,寻找多次失败的登陆尝试,反复出现的404,401,403错误,不是针对你的网站的请求记录等。

图片 3 

后来我们用MySQL加上优化,一台机器做到1万笔交易,当然了不是普通的PC服务器,是9万元的PC服务器,再加上FLASH卡,总共不到12万元,整个淘宝平台的交易能力一秒钟能做到16万笔交易,商用软件已经不能满足大规模系统的需要,开源自主开发有很好的可控性和可扩展性,我们有个规模效应,比如这个图横坐标是规模,规模由小变大的时候,一开始自己研发,投入的起点可能比较高,随着规模增大,斜线不高,如果一开始租或者买,投入的起点已经必定低,随着规模增长,斜率比较高,两条斜线肯定相交于一点,过了这个交差点自己做一定划算,我们在商用软件上碰上问题,商用厂商并不全力支持我们,全世界可能就我们一家是这种用法,逼着规模大的不得不自己做。

5、如果使用IIS 6的话,使用Host Headers ,URL扫描,实现自动网站内容和IIS Metabase的Replication,对IUSR_servername帐号户使用标准的名称等。

图2:选择“I need to install an operating system”以开始新的安装

本文由金沙澳门官网网址发布于服务器运维,转载请注明出处:商用软件未必解决问题,如何加固外网上的IIS服

关键词:

上一篇:金沙国际登陆:NET项目种类,前年最卓绝的自动

下一篇:微软服务器管理中国共产党第五次全国代表大会