总结wireguard、waf、堡垒机相关疑问
文章目录一、wireguard是什么1.核心特点2.典型应用3.和传统VPN的对比4.配置文件解释二、waf是什么1.它防护什么2.工作在哪一层3.主要能力4.注意三、堡垒机是什么1.解决什么问题2.核心功能3.与普通跳板机的区别问题回顾一、wireguard是什么新一代极简VPN一种简单、高速、现代化的VPN协议与工具用来在两台或多台设备之间建立加密的安全隧道。1.核心特点极简设计代码量极少约4000行。高性能运行在Linux内核态使用高效的现代密码算法速度很快适合移动设备和高带宽场景。基于UDP(面向无连接)只使用UDP通信天然支持漫游比如从Wi-Fi切换到移动数据时连接不断。密钥交换模型简单基于公钥/私钥对交换公钥即可建立连接。工作在三层IP层它做的是一个网络层的隧道能转发所有IP流量。2.典型应用安全地远程访问公司内部网络替代传统VPN。将不同云上、云下的服务器组成一个加密的私有网络。点对点安全接入比如把个人笔记本、手机连回家中的服务器。3.和传统VPN的对比OpenVPN配置复杂、依赖证书IPsec配置极其繁琐。WireGuard只需几行配置定义接口、私钥和对端公钥即可。4.配置文件解释PrivateKey自己的私钥Address自己的虚拟ipPublicKey远程服务器公钥AllowedIPS配置访问哪些ip需要加密Endpoint远程服务器公网地址配置解释当你需要与AllowedIPS中的地址通信时需先将加密的数据发送到Endpoint服务器地址中服务器解密后将明文参数发送到指定内网系统。二、waf是什么Web应用防火墙部署在Web应用前面专门分析和过滤HTTP/HTTPS流量保护Web应用免受应用层攻击的安全设备或服务。1.它防护什么SQL注入、跨站脚本XSS、跨站请求伪造CSRF文件包含、命令注入、不安全的反序列化等恶意的爬虫、扫描器、CC攻击/HTTP Flood应用层DDoS防护以及API滥用等2.工作在哪一层OSI模型第7层应用层能理解HTTP请求、响应、参数、头部、Cookie等不像传统防火墙只看IP和端口。3.主要能力基于规则正则/语义检测攻击特征。可以设置白名单/黑名单、速率限制、虚拟补丁暂时封堵已知漏洞。现代WAF常结合机器学习行为分析减少误报。4.注意WAF是纵深防御的一环不能替代安全编码但它是有效的补位手段。三、堡垒机是什么作为一台“单点入口”的跳板机所有对服务器、网络设备、数据库的运维操作都必须通过它并实现身份认证、权限控制、全程录像审计。1.解决什么问题密码泄露或被多人共享。操作过程无记录出事故后无法追溯。权限过大不知道谁干了什么。堡垒机就是对此的统一管控平台。2.核心功能统一认证与单点登录运维人员用自己的账号登录堡垒机再由堡垒机代为连接目标服务器无需知道目标服务器的密码。细粒度权限控制什么人、在什么时间、以什么账号、能访问哪些服务器、能执行哪些命令都可以精确控制。操作审计与录像完整记录整个会话的操作内容和屏幕支持回放像视频监控一样。对危险命令如 rm -rf可实时阻断或告警。资产与账号管理集中管理主机列表、账号密码支持密码自动轮换。3.与普通跳板机的区别普通跳板机只是一个中转SSH服务器缺少审计、权限细分和账号管理。问题回顾线上网站的后台登录地址用vpn封起来了也部署了waf。用户反应操作过程中会突然报403排查后发现waf的回源地址会变nginx只放开了固定地址导致某些请求被拦截。最后联系waf放开指定ipnginx放开waf的地址后解决。我感觉只用nginx放开就行。