如何架設(shè)盡量安全的混合云網(wǎng)絡(luò)-創(chuàng)新互聯(lián)

小弟是互聯(lián)網(wǎng)發(fā)燒友一只，曾經(jīng)傻呆呆的以為互聯(lián)網(wǎng)上的環(huán)境很干凈，沒(méi)有病毒和***，于是乎自己買(mǎi)了一臺(tái)云服務(wù)器就搭建了一個(gè)***網(wǎng)關(guān)，和自己家的電腦組成混合云，大概架構(gòu)就是云主機(jī)做***-server，家里的一臺(tái)機(jī)器做網(wǎng)關(guān)，這個(gè)“網(wǎng)關(guān)”通過(guò)***協(xié)議連接至這個(gè)云主機(jī)的***服務(wù)上，這樣的話所有機(jī)器都可以通過(guò)這個(gè)云主機(jī)的ip+端口映射到家里的機(jī)器上。剛爽了沒(méi)幾天，服務(wù)器就被攻陷了，連帶家里所有聯(lián)網(wǎng)的設(shè)備全部淪陷，當(dāng)時(shí)的心情比吃了屎還難受，所有資料全部被加密，包括我數(shù)十年的照片，論文……聽(tīng)到這里，相信您一定會(huì)為我哀傷1秒吧。但是哀傷之余慶幸的是我的重要資料都有備份，并且是脫機(jī)備份！這里我要強(qiáng)調(diào)吖，一定要脫機(jī)備份，什么RAID0、RAID1、RAID10、RAID11在病毒面前都是文件，統(tǒng)統(tǒng)吃掉，那種東西可以防止硬件錯(cuò)誤導(dǎo)致的資料丟失，但是卻防不住軟件病毒帶來(lái)的損失，所以一定一定要脫機(jī)備份！！

創(chuàng)新互聯(lián)建站堅(jiān)信：善待客戶，將會(huì)成為終身客戶。我們能堅(jiān)持多年，是因?yàn)槲覀円恢笨芍档眯刨?。我們從不忽悠初訪客戶，我們用心做好本職工作，不忘初心，方得始終。10多年網(wǎng)站建設(shè)經(jīng)驗(yàn)創(chuàng)新互聯(lián)建站是成都老牌網(wǎng)站營(yíng)銷服務(wù)商,為您提供成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、網(wǎng)站設(shè)計(jì)、H5頁(yè)面制作、網(wǎng)站制作、品牌網(wǎng)站建設(shè)、微信平臺(tái)小程序開(kāi)發(fā)服務(wù),給眾多知名企業(yè)提供過(guò)好品質(zhì)的建站服務(wù)。

當(dāng)然今天的主題就是，如何可以建立相對(duì)更加安全的混合云網(wǎng)關(guān)，或者說(shuō)幾種***方式的對(duì)比。

經(jīng)過(guò)我的調(diào)研，混合云的意思就是把公有云，比如AWS，阿里云等公司的云服務(wù)器和自建機(jī)房的服務(wù)器打通，把關(guān)鍵數(shù)據(jù)放到自建機(jī)房，互聯(lián)網(wǎng)入口例如nginx放到公有云上，實(shí)現(xiàn)節(jié)約成本、彈性伸縮等需求。那么建立混合云的關(guān)鍵一點(diǎn)就是如何把私有云和公有云打通。目前普遍的做法只有兩種，一種是找運(yùn)營(yíng)商拉專線，直接在機(jī)器上增加路由，在自建機(jī)房的機(jī)器上指定去往公有云VPC的網(wǎng)段的走專線；另一種就是構(gòu)建×××網(wǎng)絡(luò)。

當(dāng)然二者的對(duì)比也就出來(lái)了，專線的“?！笔呛馨嘿F的，需要借助運(yùn)營(yíng)商，云服務(wù)提供商等多方面進(jìn)行配合才能夠做到，那么對(duì)于小型企業(yè)可能未必用的起這么高大上的線路，那么×××的優(yōu)勢(shì)就體現(xiàn)出來(lái)了，×××網(wǎng)關(guān)是基于internet封裝的私網(wǎng)通道，價(jià)格便宜，做到公網(wǎng)的價(jià)格，私網(wǎng)的享受?！痢痢辆W(wǎng)關(guān)在安全性上雖然比高速通道等物理專線稍弱，但是×××網(wǎng)關(guān)認(rèn)證數(shù)據(jù)來(lái)源，且傳輸過(guò)程是加密的，即使被竊取也無(wú)法破解數(shù)據(jù)內(nèi)容。另外還提供防篡改抗重放能力。×××的便捷也是其優(yōu)勢(shì)之一，即開(kāi)即用，快速搭建，無(wú)需多方協(xié)調(diào)。×××在可靠性上也是值得信賴的，×××網(wǎng)關(guān)節(jié)點(diǎn)雙機(jī)熱備，實(shí)時(shí)同步，自動(dòng)切換。如果使用專線為了可靠開(kāi)兩條專線，那費(fèi)用估計(jì)不是一般企業(yè)能負(fù)擔(dān)得起的。

好了。那么言歸正傳，說(shuō)說(shuō)如何建立更加安全的×××線路。

說(shuō)起***那就更多了，PPTP***，Ipsec×××，L2TP***，Open×××等等，PPTP最簡(jiǎn)單，但是安全性最低，Open×××最安全，但是需要借助特定的軟件才能登陸，又比較復(fù)雜。

通過(guò)親自試驗(yàn)，IKEv2類型的***需要?jiǎng)?chuàng)建證書(shū)，使用起來(lái)較為復(fù)雜，并且需要在哪個(gè)機(jī)器上登錄就要把證書(shū)拷到哪個(gè)機(jī)器上，并且還需要保證該設(shè)備能夠安裝證書(shū)，普適性差一些，并且有一些小問(wèn)題，比如有的網(wǎng)站能打開(kāi)，有的網(wǎng)站卻打不開(kāi)，很難排錯(cuò)。

然后使用L2TP方式也部署了一遍，手機(jī)端還是順利連上，但是win7電腦端死活連不上，經(jīng)查詢資料發(fā)現(xiàn)對(duì)于WIN7還要修改注冊(cè)表，見(jiàn)該鏈接：https://blog.csdn.net/u010750668/article/details/62057603

鑒于公司電腦資料較重要，不敢修改注冊(cè)表關(guān)鍵信息，不知道會(huì)有什么連帶后果，所以沒(méi)有進(jìn)行操作，但是不管怎樣，這個(gè)方式普適性也不太好。

那就剩最后一個(gè)最容易卻最不×××全的PPTP ***了，那既然大家都說(shuō)他不安全，我們就探究一下為什么不安全，能不能主動(dòng)進(jìn)行修補(bǔ)漏洞。

根據(jù)資料顯示，所謂的“不安全”是指數(shù)據(jù)在傳輸過(guò)程中容易被截獲，然后破譯出其中的內(nèi)容，是因?yàn)镻PTP所使用的加密協(xié)議已經(jīng)被破解，認(rèn)證過(guò)程為mschapv2，總key 長(zhǎng)度為 2^56 x2 = 57bits，F(xiàn)PGA之類的專用硬件大概23小時(shí)內(nèi)搞定。

MPPE的128位session key是基于mschapv2的hash生成的，套了幾次md4和sha1而已，如果獲得了初始認(rèn)證的key，如果對(duì)整個(gè)pptp ***抓包了的話，可以推出后續(xù)的session key從而解密整個(gè)pptp ***流量。

所以說(shuō)PPTP ***缺乏forward secrecy，一旦key被破解就可以解密全部之前的流量，但是ipsec的ike握手用的是diffie hellman key exchange，每次隨機(jī)產(chǎn)生的session key可以提高forward secrecy。

雖然我也聽(tīng)不太懂，總之是可以被破解，但是要不要破解你那就看你的利用價(jià)值了，但是對(duì)于一般的個(gè)人使用，我倒認(rèn)為不會(huì)有人費(fèi)盡心機(jī)去破解你的數(shù)據(jù)。

此外，即使破解，破解的也是傳輸?shù)拿魑臄?shù)據(jù)，對(duì)于ssh，https之類的本身加密數(shù)據(jù)仍然是無(wú)法破解的。下面我用一個(gè)小實(shí)驗(yàn)來(lái)探究一下。

實(shí)驗(yàn)環(huán)境：A機(jī)器：×××客戶端1，外網(wǎng)IP地址為220.*.*.176，內(nèi)網(wǎng)IP為10.31.162.113

                   B機(jī)器：阿里云服務(wù)器，×××服務(wù)器 115.*.*.200，內(nèi)網(wǎng)IP為10.31.160.110

                   C機(jī)器：×××客戶端2，外網(wǎng)IP地址為117.*.*.253，內(nèi)網(wǎng)IP為10.31.162.111

                   D網(wǎng)站：

實(shí)驗(yàn)拓?fù)?：通過(guò)×××訪問(wèn)外網(wǎng)網(wǎng)站的抓包分析

 

這樣建立連接后A訪問(wèn)http網(wǎng)站D，在A端進(jìn)行抓包，發(fā)現(xiàn)全部都是PPP包，數(shù)據(jù)全部是加密后的樣子，無(wú)法直接看到http報(bào)文內(nèi)容。但是在B端抓包，可以看到，在解密后會(huì)發(fā)送普通的HTTP數(shù)據(jù)，也就可以看到HTTP報(bào)文明文數(shù)據(jù)，如下圖所示：

做一個(gè)簡(jiǎn)單分析：32,33號(hào)數(shù)據(jù)包為DNS請(qǐng)求，請(qǐng)求www.51cto.com的IP地址，并得到地址為59.110.244.199，之后36，37，41號(hào)數(shù)據(jù)包為B機(jī)器與D網(wǎng)址的TCP三次握手，接下來(lái)42號(hào)數(shù)據(jù)包就是明文的HTTP報(bào)文了，可以看到Host地址是什么。從這個(gè)實(shí)驗(yàn)中可以看出***隧道實(shí)際上是加密的，通過(guò)抓包是無(wú)法直接看到數(shù)據(jù)內(nèi)容的，當(dāng)然破解另說(shuō)，但是到達(dá)***服務(wù)端之后，再去訪問(wèn)網(wǎng)站，則使用的不加密的明文數(shù)據(jù)報(bào)發(fā)送，起不到加密作用。

實(shí)驗(yàn)拓?fù)?：通過(guò)×××訪問(wèn)公司內(nèi)網(wǎng)網(wǎng)站的抓包分析。

相當(dāng)于兩位出差人員A和C同時(shí)使用公司×××連入公司內(nèi)網(wǎng)，然后測(cè)試A與C之間的通信是否加密。為了方便測(cè)試，在A上建立一個(gè)簡(jiǎn)單的HTTP網(wǎng)站nginx，然后從C上訪問(wèn)。

抓包結(jié)果圖忽略，總之沒(méi)有任何一個(gè)HTTP包，均為PPP Comp和GRE數(shù)據(jù)包，那也就證明了，使用×××網(wǎng)絡(luò)在公網(wǎng)段是全部加密的，只是不同的×××協(xié)議對(duì)數(shù)據(jù)加密的算法不一樣，所以在這個(gè)意義上，使用PPTP ×××在數(shù)據(jù)不是很重要的場(chǎng)景下還是可以使用的，如果數(shù)據(jù)極其重要，還是建議不要使用這種搭建方式了。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

標(biāo)題名稱：如何架設(shè)盡量安全的混合云網(wǎng)絡(luò)-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)網(wǎng)址：http://bm7419.com/article12/igggc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、服務(wù)器托管、網(wǎng)站收錄、微信公眾號(hào)、動(dòng)態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)