wangli的博客

最近有个客户需要使用网页防篡改服务，顺道学习了天翼云上网页防篡改产品的部署及使用，本文对网页防篡改服务的工作原理及部署过程及部署中需要注意的方面进行回顾。一、网页防篡改工作原理1、系统架构网页防篡改服务的经典场景如上图，在客户需要防护的vpc内新建一台云主机，使用网页防篡改镜像加载即可，保证防篡改服务器云主机与准备防护的客户网站云主机在同一个vpc内，网页防篡改架构是标准的...

接上一篇通过内网ROS软路由与天翼云实现内网互通，本次通过内网硬件路由器H3C的ICG5000实现与天翼云的内网互通，由于天翼云网站上已经有华为与思科设备的对接方案，没有提供H3C的对接方案，如果各位有H3C的路由器防火墙需要通过IPSEC与天翼云的内网互通可以参考该方案。一、组网示意图 组网情况是内网出口路由器ICG5000配置公网地址1.1.1.1，内网IP10.3...

天翼云的资源池是2+31+N，分布在全国各地，每个省及大点的地市几乎都有资源池，如果你的客户在不同省份的资源池都部署了云上应用并且想把这些资源池共享数据，你可以首先通过互联网的EIP实现，其次如果想要数据安全传输，可以用天翼云云间高速产品通过专线实现不同云池间的高速安全连接，但是价格也非常感人，一般人是根本不敢用，那有么有既保障安全又可以高速连接的方法呢？下面的内容就是介绍如何实现在不同...

网络安全形式越来越差，系统漏洞发现的频率越来越高，对于重要的漏洞操作系统往往会同步发布补丁，而如果采用人工维护模式不可能及时打上补丁，对于在互联网上运行的系统来说是非常危险，如何自动让操作系统给自己打补丁呢？本文记录如何实现每天、每小时自动更新操作系统安全补丁的技术实现。 一、安装yum-cron软件包yum install yum-cron -y 二、启...

   今天处理了一个以前没有遇到也没有想到的关于链路聚合配置隐患导致的链路故障，总结如下供大家参考。   一、网络拓扑图二、故障现象     内网出口网速突然变慢，通过SPEEDTEST测试红色链路出口实际测速无法突破100M，实际出口带宽应为1G。三、故障排查思路1、排除客户机网卡性能问题  通过调整防火墙A的静态浮动路由设置，使客户端出口同时通过防火墙A与防火墙B出...

   因为GHOST的存在，windows下重装系统变得快捷很多，关于WINDOWS启动U盘制作及系统安装大多数人都会用，这里就不在赘述，这里主要分享使用一个启动U盘同时安装不同LINUX系统与WINDOWS系统的快捷方法，使用该方法制作的启动U盘在完全兼容windows系统安装的基础上可以同时安装各种Linux操作系统（CentOS\ubuntu\kali-linux\opensuse\debi...

一、实验拓扑二、拓扑介绍  本实验中两台PE设备有主备两条链路，要实现MPLS网互通，需要配置4条LSP，每个方向需要配置2条LSP静态路由，主用链路是经过P_1的链路，备用链路是经过P_2的链路，主用链路的LSP命名为LSP1、LSP2，备用链路的LSP命名为LSP3、LSP4。三、实验背景      BFD是一种链路快速检测机制，BGP协议通过引入BFD与BGP联动功能，利...

      随着公有云资源的普及越来越多的人或单位在各种公有云上安了家，云虽然很好，但公有云资源如何安全快捷的访问本地局域网内资源呢？本文的目标是解决你的混合云组网，将公有云网络通过IPSEC-VPN技术打通与本地局域网的互联，实现混合云组网。      混合云组网是大势所趋，各个公有云服务商也都提供了相应的收费服务，我查了一下，在天翼云中利用IPSEC-VPN打通网络实现互联的产品叫做‘云网...

      这两天碰到一个疑难故障，一台物理机以接入到交换机hybird模式，该物理机下一台虚拟机以ipsec net2net方式接入到一台天翼云的主机,实现了将天翼云VPC网络与本地私网打通的目标，但是本地私网有133.3.5.0/24，133.3.103.0/24，133.3.107.0/24等多个C端的私网地址，在配置ipsec vpn时，专门把通过私网路由修改为133.3.0.0/16，配...

    近日使用一台ubuntu18.04的桌面版开通了一些服务,但是出于安全考虑,需要对访问服务的端口及来访IP地址进行限制，默认关闭所有进入机器的流量，开启机器访问出去的流量。1、ubuntu默认安装了ufw防火墙软件  默认ufw防火墙没有打开，需要手工显式打开，打开ufw防火墙的命令如下：sudo ufw enable2、设置默认网络安全规则sudo ufw defau...

    今天介绍一下常用web服务器之apache的httpd，该项目是apache基金会1995年推出的开源免费http服务器，该项目的目标是提供一个安全，高效和可扩展的服务器，提供与当前HTTP标准同步的HTTP服务。目前最新版本是apache http server2.4.37版。其中需要注意的是官方已经停止了对httpd2.2.x系列版本的升级维护，为了安全最好更新为最新版本。一、ht...

一、背景介绍      apache的httpd web服务器默认开启了http的trace与track方法，这些方法是存在安全风险的，它们会产生跨站点跟踪问题。HTTP TRACK方法是微软编写的，与TRACE的功能基本相同，除了渗透测试人员，黑客，蠕虫和漏洞扫描程序之外，它从未被使用过。     XSS漏洞是一种低风险漏洞，是全球网络中最常见的漏洞之一。这个问题至少从1990年开始出现...

一、什么是openssl    OpenSSL是一个软件库，用于保护计算机网络上的通信免受窃听或需要在另一端识别该方的应用程序。它广泛用于互联网Web服务器，服务于大多数网站。简单的理解一句话:openssl是一个C语言函数库，对SSL协议的实现，主要用于web服务器上提供https的加密服务。    OpenSSL包含SSL和TLS协议的开源实现。以C编程语言编写的核心库实现了基本的加密...

     通过dig从B根域服务器完成跟踪www.taobao.com完整解析过程，通过分析解析过程的交互来加深理解DNS体系知识。dig输出主要内容解释:QUESTION SECTION：查询的内容ANSWER SECTION：相应的内容，一般会得到至少一条A记录，否则就还没定义AUTHORITY SECTION：授权信息ADDITIONAL SECTION：每个授权服务器的IP地...

     由于开发需要多台服务器使用域名解析，需要在内网搭建一套dns系统，原来搭建过基于bind的dns服务器，但是这种服务器的配置修改比较繁琐，因此想搭建一个轻量级的dns服务器。这里我使用了dnsmasq服务。首先了解一下什么是dnsmasq，维基百科这样说明：这次的web-ui管理界面是基于go语言开发，下面让我们开始吧！一、准备一台centos7的虚拟机服务器，最小安装即可，...

一、YUM代理方案使所有yum操作都能使用代理服务器，请在中指定代理服务器详细信息 /etc/yum.conf。该proxy 设置必须将代理服务器指定为完整URL，包括TCP端口号。如果您的代理服务器需要用户名和密码，请通过添加proxy_username和 proxy_password设置指定这些 。下面的设置允许yum使用代理服务器 mycache.mydomain.com连接到端口3...

因为网络安全问题，需要对centos7下的ssh服务进行安全加固，下面会给出详细操作步骤及思路。     由于centos7系统默认安装启用了系统高级防火墙，ssh服务默认开启是22端口，如果直接在ssh的配置文件中对监听端口进行更改，重启sshd服务后不会成功，提示无法绑定端口，所以要修改ssh的端口，需要首先修改系统防火墙配置    一、ssh登陆端口修改        1