|
|
|
 |
|
微軟官網Microsoft.com安全防護趣聞
|
|
來源:安全中國 2007-12-17 11:53:44
|
|
作為一個龐大的軟件帝國,微軟自家官方網站www.microsoft.com的經營是個非常有趣的話題,尤其是這么一個大型網絡是如何在提供高速數據傳輸的同時保障自身安全的Jeff Alexander近日就從微軟運營小組那里獲得了一些“內幕資料”,主要是關于微軟是如何自己使用IIS、Windows Server 2008和防火墻的。 1、其實www.microsoft.com根本沒有使用防火墻,而且今后也不會安裝,因為不處理HBI數據,無需記錄外部登陸情況。 2、僅僅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB,而且這還不包括每個下載服務器每小時6GB的流量。如果還有防火墻日志,那每天至少得1TB之上了。 3、5年前還沒有可以滿足需要的防火墻方案,所以微軟把重點放在了網絡、主機和應用程序的安全性上。由于這方面的工作非常成功,盡管現在已經有了非常先進的防火墻,微軟也不打算采用,因為微軟不相信任何防火墻可以勝任其網絡流量負載:非下載流量8-9Gbps、內部網絡流量約30Gbps。 4、在2006年7月之前,微軟還使用NLB(網絡負載平衡)系統處理負載平衡,而這種方法所需要的網絡微分段更使得防火墻既昂貴又復雜。 為了保護www.microsoft.com,微軟的主要措施有: 1、使用思科的Cisco Guards檢測拒絕服務攻擊(DoS)和自動響應。 2、使用Router ACLs關閉不必要的端口。 3、www.microsoft.com和MSDN、TechNet都使用NetScalers來抵御DoS攻擊,update.microsoft.com仍然在使用NLB。 4、早在Windows Server 2008和IIS7還處于Beta測試階段的時候www.microsoft.com就已經率先全面使用了(確切地說2007年6月12日開始使用IIS7),目前則已更新到RC版,此外MSDN、TechNet正在進行遷移,而update.microsoft.com還停留在Windows Server 2003、IIS6,何時升級尚未確定。由于Windows本身默認啟動的無關服務太多,微軟也按照自己公布的安全指導禁用了很大一批。 5、在發生大規模SYN攻擊的時候,NLB系統會使用自動系統監視器、網絡監視器來自動捕獲并分析攻擊。NetScalar系統目前尚未這么做,但正在利用空閑時間進行試驗。 6、應用程序安全方面由ACE負責。這是一個內部小組,主要工作是應用程序威脅建模。 本篇文章來源于 安全中國-全球最大中文黑客門戶 原文鏈接:http://www.anqn.com/news/a/2007-12-17/a0991029.shtml
|
