NetWork Security Essentials

在过去的十几年中,一个机构内部对信息安全的要求经历了两个重大变革。在广泛应用数据处理设备之前,对机构非常重要的信息安全保障主要是靠武力管理的方法实现的。前者的一个例子是用于存储敏感文档的带有组合锁的档案柜的应用。而后者的一个例子是在聘用过程中使用的人事屏蔽步骤。

在引入计算机之后,对于用来保护存储在计算机的文件和其他信息的自动工具的需求变得显而易见。对于共享系统更是如此,例如分时共享系统,对于能通过公共电话网络、数据网络或者互联网访问的系统而言这种需求更加迫切。用于保护数据安全和防范黑客工具集合的通用名称便是计算机安全。

Windows服务器IIS配置符合苹果ATS方法

2018年10月13日

原来服务器到期了,之后转移到新的服务器,但是在部署https的时候出现各种问题。部署好之后监测https的安全性,可以在这里检测:SSL/TLS安全评估报告检测了一下是F,ATS不合规。苹果(Apple) ATS的基本要求主要满足三个条件TLS1.2支持、加密套件、SHA-2签名算法即可。在windows设置ATS需要Windows Server 2008 R2以上,如果无法满足,需要升级系统。下...

nginx http跳转到https

2018年09月29日

最近需要将nginx的http全部跳转到https,具体代码如下:server { listen 80 default_server; listen [::]:80 default_server; server_name _; return 301 https:// $ host $ request_uri ; }重定向响应与HTTP状态代码301一起发送,该状态代码301...

SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE

2018年09月28日

在上一篇文章中将openssl转换pem为crt,转换成功之后,修改nginx配置文件,保存之后测试nginx配置,但是报如下错误:SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE具体如图所示:解决方案:配置nginx不一定非要crt文件,pem文件也可以,具体配置写...

openssl转换pem为crt

2018年09月28日

最近使用nginx,想全站https。收费的ssl证书很贵,我们这些小站长根本买不起,于是申请了一个免费的证书,但是免费的证书验证通过之后,只有两个文件,如图:但是配置nginx需要两个文件,一个是key文件,一个是crt文件,具体可以参考官方文档:Configuring HTTPS servers已经有了key文件,如何将pem文件转换为crt文件呢?我推荐在linux上面操作,主要是方便,不需...

OpenID 和 OAuth 有什么区别?

2018年07月16日

OpenID是AuthenticationOAuth是Authorization前者是网站对用户进行认证,让网站知道“你是你所声称的URL的属主”后者其实并不包括认证,只不过“只有认证成功的人才能进行授权”,结果类似于“认证+授权”了。OAuth相当于:A网站给B网站一个令牌,然后告诉B网站说根据这个令牌你可以获取到某用户在A网站上允许你访问的所有信息如果A网站需要用B网站的用户系统进行登录(学名...

服务器集群负载均衡与DDOS防御

2018年05月23日

最近网站频繁受到DDOS攻击,最高的时候是31.1G的流量。遭受到如此大的流量攻击,导致服务器提供商将所有流量都进入黑洞。服务器封停8小时,这简直是无法忍受的。为了保证网络安全,网站稳定,准备采用CDN+负载均衡的方式来使网站稳定运行。CDN已经部署完成,但是负载均衡现在看来对于防御DDOS Flow防御是没有什么效果的,原因在于:1、如果要做syn flow攻击,最合适的是做DNS负载均衡,参考...

CDN安全小结

2018年05月23日

CDN作为反向代理服务器,除非操作系统或者反向代理软件爆出严重的漏洞,其本身是不存在较大的安全问题的。扫描CDN服务器的端口往往会发现只开了80(http)和443(https),而这两个端口又不运行动态脚本,作为攻击者很难从这里下手。尽管CDN服务器看起来固若金汤,但是攻击CDN可以从CDN运行逻辑入手。CDN安全主要出现在环路攻击上,一旦流量形成环,则整个CDN会带着流量不断消耗自身的资源,造...

为何 shadowsocks 要弃用一次性验证 (OTA)

2018年01月29日

前些天,shadowsocks 提出了 SIP004 草案,旨在使用 AEAD 算法 取代原先的不安全的 流加密 + OTA,并弃用了一次性验证 (OTA)。新协议的提出对于 shadowsocks 是一个非常非常重大的改进,因此我写了这篇博文为看不懂洋文的朋友们科普一下「为什么 OTA 会被这么快被弃用」以及「为什么应该使用新协议」。一、OTA 是什么OTA(One Time Auth,一次性验...