微软官网Microsoft.com的一些安全防护数据
作为一个庞大的软件帝国,微软自家官方网站www.microsoft.com的经营是个非常有趣的话题,尤其是这么一个大型网络是如何在提供高速数据传输的同时保障自身安全的?Jeff Alexander近日就从微软运营小组那里获得了一些“内幕资料”,主要是关于微软是如何自己使用IIS、Windows Server 2008和防火墙的。
1、其实www.microsoft.com根本没有使用防火墙,而且今后也不会安装,因为不处理HBI数据,无需记录外部登陆情况。
2、仅仅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB,而且这还不包括每个下载服务器每小时6GB的流量。如果还有防火墙日志,那每天至少得1TB之上了。
3、5年前还没有可以满足需要的防火墙方案,所以微软把重点放在了网络、主机和应用程序的安全性上。由于这方面的工作非常成功,尽管现在已经有了非常先进的防火墙,微软也不打算采用,因为微软不相信任何防火墙可以胜任其网络流量负载:非下载流量8-9Gbps、内部网络流量约30Gbps。
4、在2006年7月之前,微软还使用NLB(网络负载平衡)系统处理负载平衡,而这种方法所需要的网络微分段更使得防火墙既昂贵又复杂。
为了保护www.microsoft.com,微软的主要措施有:
1、使用思科的Cisco Guards检测拒绝服务攻击(DoS)和自动响应。
2、使用Router ACLs关闭不必要的端口。
3、www.microsoft.com和MSDN、TechNet都使用NetScalers来抵御DoS攻击,update.microsoft.com仍然在使用NLB。
4、早在Windows Server 2008和IIS7还处于Beta测试阶段的时候www.microsoft.com就已经率先全面使用了(确切地说2007年6月12日开始使用 IIS7),目前则已更新到RC版,此外MSDN、TechNet正在进行迁移,而update.microsoft.com还停留在Windows Server 2003、IIS6,何时升级尚未确定。由于Windows本身默认启动的无关服务太多,微软也按照自己公布的安全指导禁用了很大一批。
5、在发生大规模SYN攻击的时候,NLB系统会使用自动系统监视器、网络监视器来自动捕获并分析攻击。NetScalar系统目前尚未这么做,但正在利用空闲时间进行试验。
6、应用程序安全方面由ACE负责。这是一个内部小组,主要工作是应用程序威胁建模。
原文http://news.mydrivers.com/1/96/96493.htm
为了保护www.microsoft.com,微软的主要措施有:
IDS,这个不算防火墙。
ACL都上了,不就是防火墙了吗!拿router当硬防火墙来用,还口口声声不用防火墙,有本事别用ACL啊,端口1~65535全给公网开着随便telnet啊,还敢说自己不用防火墙。。。。偷梁换柱,偷换概念。
微软系统最不安全的地方在于,他把整个服务器设计为只有自己一个业务运行的模式。微软敢在自己的www.microsoft.com上开一个iis虚拟主机让别人来跑吗?30分钟就被提升权限搞掉了。。。除非他就跑HTML纯静态。微软系统没有为多用户而设计,总是假设一台服务器就一个网站,asp.net的网站运行都不能区分用户,全是一个身份,烂到死。
网管都知道,IIS的特点就是匿名访问web弹框,没权限,然后不得不把从c盘到windows到system32下数万个文件权限都一个个查一遍。。。。垃圾到极点。。。。然后是注册表权限,然后是组件权限。。。。
唯有全静态外才是安全——没动态脚本,没法提升了。。。