WAF
公司产品大部分以硬件为主;商业产品,个人使用的以软件为主;
原理:Web应用防火墙,旨在提供保护
可以绕过,但是不同产品的难度差别很大
影响:常规Web安全测试手段会受到拦截
演示:免费D盾防护软件
Windows2012 + IIS +D盾
CDN
原理:内容分发服务,旨在提高访问速度
影响:隐藏真实源IP,导致对目标测试错误
演示:阿里云备案域名全局CDN加速服务
Windows2012 + BT宝塔面板 + CDN服务
操作:先在宝塔里面添加站点,然后去cdn里面设置,然后会出现配置向导,最后去服务器dns解析添加cname域名
注意:自己ping不到可以用超级ping工具
OSS
原理:云存储服务,旨在提高访问速度
普通的上传是上传到服务器里面,但是设置了oss之后,上传到了对应厂商的oss里面了
影响:
Windows2012 + cloudreve + 阿里云OSS
在服务器运行这个就行,是个web应用,连iis都不用搭建;然后访问对应的ip:端口 就可以
cloudreve下载地址:https://github.com/cloudreve/Cloudreve/releases/tag/3.7.1
1、启动应用
2、登录管理
3、配置存储信息
4、更改用户组存储属性
阿里云OSS:
1、开OSS
2、新建Bucket
3、配置Bucket属性
4、配置Access访问
原理:
为什么要使用第三方存储?
1)静态文件会占用大量带宽
2)加载速度
3)存储空间
影响:
上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储
1、修复上传安全
因为上传文件的保存是保存在厂商的oss那边,不在本地服务器的存储里面
2、文件解析不一样
因为不执行代码,所以访问也就会被解析为下载
3、但Accesskey(阿里云oss里面的密钥)隐患
正向代理
比如FQ访问国外就是这个情况
反向代理
服务器主动把流量给到一个代理,然后原来访问不到,现在就可以访问到了
正代理为客户端服务,客户端主动建立代理访问目标(不代理不可达)
反向代理为服务端服务,服务端主动转发数据给可访问地址(不主动不可达)
原理:通过网络反向代理转发真实服务达到访问目的,代理服务器只是做了转发
影响:访问目标只是一个代理,非真实应用服务器
注意:正向代理和反向代理都是解决访问不可达的问题,但由于反向代理中多出一个可以重定向解析的功能操作,导致反代理出的站点指向和真实应用毫无关系!
演示:Nginx反向代理配置
Windows2012 + BT宝塔面板 + Nginx
设置里填的是哪个网站,自己的网站就成了那个网站的代理,测试的自己的网站就变成了测的那个代理的网站
高级设置就可以细节到路径来代理
负载均衡
原理:分摊到多个操作单元上进行执行,共同完成工作任务
影响:有多个服务器加载服务,一个网站有多台服务器来提供服务,测试过程中存在多个目标情况
演示:Nginx负载均衡配置
Windows2012 + BT宝塔面板 + Nginx
在宝塔中设置,改自己网站对应的配置文件,限定义访问路径(写在内部),再定义负载设置(写在最顶上)
定义负载设置
#说明用下面的这两个网站来提供服务
upstream fzjh{ #和下面的名字要对应上
server 47.94.236.117:80 weight=2; #weight是权重,权重越大会更优先显示
server 47.122.22.195:80 weight=1;
}
定义访问路径 访问策略
location / { #说明在访问根目录的时候启动负载均衡
proxy_pass http://fzjh/;
}
负载均衡与反向代理区别
1、负载均衡需要通过反向代理来实现
2、反向代理就是指nginx作为前端服务器,将请求转发到后端,再将后端服务器的结果,返回给客户端它在中间做了一个代理服务器的角色
3、负载均衡对反向代理增加了一些策略,因为后端是多台服务器,nginx会根据设定的策略将请求转发给一个相对空闲的服务器,对负载进行分流,减轻服务器压力