DDOS 第222页

现代公司依靠数据（以及所需的一切）进行日常业务运营。数据的使用有几个不同的方面需要提前考虑和计划才能顺利运行。随着业务的扩展，内部团队处理数据可能会变得更加困难。随着公司的发展，他们的数据中心管理需求也在增长。这可能意味着一些不同的事情，包括增加冷却、增加电力，甚至更大的物理空间。公司是否应该扩大其内部数据中心的运营？甚至可能吗？当时机成熟时，这些决定可能会在未来几年影响公司。,, 内部数据中心有什么好处？,公司运营自己的内部数据中心有几个不同的好处。内部数据中心的第一个和主要优势是可以完全控制数据中心环境中的一切。许多运行自己的内部数据中心的公司通常也参与了设施的建设。他们不仅在管理数据方面拥有完全的控制权，而且他们还将熟悉整个设施，因为他们很可能帮助构建。,内部数据中心的另一个好处是访问方便。该公司的员工将能够随时访问他们的本地数据中心。这也意味着任何类型的维护或管理需求都可以轻松实现，因为数据中心就在现场。,内部数据中心还意味着您可以完全控制成本。拥有自己的数据中心的企业可能不必处理波动的许可成本或 SLA。虽然您无需处理波动的成本或 SLA，但您必须担心内部数据中心的所有成本。当您的公司需要扩大其数据中心运营规模时，这可能会成为一个问题。, 数据中心需要物理空间和扩展能力,所有数据中心都是可扩展的，甚至是内部数据中心。让我们把这个问题排除在外。但是，虽然数据中心可以随着业务的增长或波动而扩大和缩小，但对于拥有内部数据中心的公司来说，这并不容易。世界正在创造比以往更多的数据。这部分是由于技术的进步以及我们的文件变得有多大。过时的 3.5 英寸软盘只有 1.44 兆字节的小存储空间。考虑到这一点，Apple iPhone 12 Pro（使用 ProRaw）在某些设置下可拍摄高达 25 兆字节的照片。这只是意味着所有数据中心都需要空间——大量的空间。即使是“云”也需要空间。,,拥有内部数据中心的企业也需要相当大的空间来运行和运营自己的数据中心。除了当前运营所需的空间外，希望该公司还考虑了对可扩展性所需的额外空间的需求。大多数公司在其生命周期中都会经历不同的阶段。企业将发展壮大，并且需要扩大其数据中心运营。另一方面，一些公司可能会经历较慢的季节。在此期间，缩减其数据中心需求将是理想的选择。,公司的本地数据中心部署需要正确设置，以便能够在需要时进行扩展。对于许多企业来说，这种灵活性并不总是最容易实现的。公司需要考虑扩大当前数据中心运营所需的空间、电量和冷却要求。尽管一开始内部数据中心可能会为公司节省一些资金，但当公司需要扩展或缩减现有运营时，这可能会改变。, 对于需要灵活性的公司来说，托管是一个很好的解决方案,一个有发展愿望的公司，甚至是需要一定的增长灵活性的企业，都可以从托管数据中心的服务中受益。使用托管数据中心可以降低公司的冷却和电力成本。托管数据中心还可以降低 IT 帮助的成本。这些成本可能是托管服务提供商提供的服务的一部分，而不是雇用 IT 专家或让公司的一部分员工管理内部数据中心。这些成本在您的整个服务过程中也是可以预测的。,托管数据中心还提供了一些最好的安全性。有几个因素可以提高数据中心的安全性。这包括 24/7/365 全天候保护设施的现场警卫。设施内外的视频监控，让您的宝贵数据始终受到保护。另一个重要方面是访问控制。客户应该能够在需要时访问他们的服务器。还应要求对身份进行严格验证。安全人员应该是高素质的，并且必须经过广泛的背景调查，以便客户感到安全。许多托管数据中心都会勾选这些选项，但客户应研究其潜在的数据中心提供商以确保确定。,,托管数据中心还可以提供一些公司无法满足其内部数据中心的冗余规范。备用发电机、备用电池和备用冷却塔共同为托管数据中心提供了所需的冗余。不间断电源 (UPS) 系统允许数据中心在任何电源问题的情况下保持运行。,托管数据中心可以提供很多东西，包括全天候技术支持、DDoS 监控和保护、保护所有服务器的专用防火墙、灾难恢复计划和认证。最好的数据中心提供商符合 HIPAA、PCI 和 SSAE，这对于一些内部数据中心来说可能难以实现。, 结论,内部数据中心有很多优势，但在可扩展性方面，托管服务提供商可能是更好的选择。尽管可以扩大本地数据中心，但这可能是一个困难的过程。数据中心需要大量空间，随着公司及其业务的增长，他们对更大数据中心运营的需求也在增长。托管数据中心可以根据需要进行扩展。它们还可以提供许多其他优势，这些优势是内部数据中心难以匹敌的。如果您正在寻找任何类型的数据中心解决方案，请立即联系我们。, ,现代公司依靠数据（以及所需的一切）进行日常业务运营。数据的使用有几个不同的方面需要提前考虑和计划才能顺利运行。随着业务的扩展，内部团队处理数据可能会变得更加困难。随着公司的发展，他们的数据中心管理需求也在增长。这可能意味着一些不同的事情，包括增加冷却、增加电力，甚至更大的物理空间。公司是否应该扩大其内部数据中心的运营？甚至可能吗？当时机成熟时，这些决定可能会在未来几年影响公司。,内部数据中心还意味着您可以完全控制成本。拥有自己的数据中心的企业可能不必处理波动的许可成本或 SLA。虽然您无需处理波动的成本或 SLA，但您必须担心内部数据中心的所有成本。当您的公司需要扩大其数据中心运营规模时，这可能会成为一个问题。,

到目前为止，很明显，数据使世界运转起来。2020 年，人们每秒创建 1.7 MB 的数据。到 2022 年，全球 70% 的国内生产总值将实现数字化。2021 年，68% 的 Instagram 用户查看了无数品牌的照片。到 2025 年，全球将有超过 200 泽字节的数据存储在云端. 每天，有 3064 亿封电子邮件被发送，500 条推文被“发推”。所有这些数据（包括“云”上的数据）都存储在世界各地的物理数据中心。由于世界通信的方式以及大多数企业通过数字化媒体运营的方式，数据中心仍然是世界不可或缺的一部分。但数据中心不仅仅是存储多台服务器的设施。数据中心运营是高科技和复杂的基础设施，可为用户提供无穷无尽的电力能力。本文分解了数据中心设计标准和限制。,, 数据中心的电力需求是什么？,许多个人和企业依赖于数据中心和云计算提供的无穷动力，但如果数据中心本身不需要大量电力，这将是不可能的。2021年，数据中心消耗了全球约3%的电力生产，随着数字化转型的扩大和增长，这个数字可能会上升到8%。,话虽如此，数据中心的效率比人们想象的要高。大多数业务运营已经数字化，导致工作负载和计算能力增加了 6 倍，互联网流量增长了 10 倍，存储容量需求增长了 25 倍，数据中心能源使用量自过去十年以来仅增长了 6% . 数据中心行业在保持高效的同时仍能满足全球需求方面做得很好。通过高科技自动化系统和最新技术的利用，数据中心继续保持高效和整体可持续发展。, 什么是数据中心设计标准？,数据中心的各个方面都是标准的，包括冷却、机架密度、冗余和正常运行时间、网络、安全性和合规性。这些标准有助于评估数据中心可以为用户提供什么的能力。,在冷却方面，数据中心已经改进并正在使用先进技术来提高冷却能力。有几种传统的数据中心冷却方式，包括空气冷却。基于空气的冷却在这一类别中有几种不同的方法，包括“冷通道/热通道”冷却，它使用对流系统将冷空气与热空气分开，以及“冷空气或热空气遏制”，它隔离冷空气使用 CRAC 单元的空气和热空气，最后一个是“机架内热提取，它使用压缩机和冷却器到机架本身。,液体冷却有两种不同的方法，一种是“水冷机架和服务器”，即在机柜旁边放水以降低温度，另一种是“液浸冷却”，将服务器浸入不导电的特殊液体中电。最新版本的数据中心冷却还结合了人工智能和机器学习的使用，可以提供自动化以帮助进一步降低成本。,数据中心的另一个重要方面是冗余和正常运行时间。许多企业依靠他们的网站和数字存在来进行销售和赚钱。这意味着他们的数据中心和云提供商需要在有限的停机时间内提供高百分比的可用性。Uptime Institute 的数据中心层标准系统要求最低层的正常运行时间为 99.671%，最高层的正常运行时间为 99.995%。大部分正常运行时间依赖于数据中心运营的冗余备份策略。数据中心需要提供完整的硬件冗余和容错系统，以确保用户保持在线。, 数据中心安全性和合规性如何运作？,数据是许多公司运营的重要组成部分。数据中心需要大量的安全性，为了确保来自所有不同公司的数据受到保护，合规性是所有数据中心运营的重要标准。数据中心安全是指物理安全和网络安全。数据中心使用融合了最新技术创新的高科技安全性。,数据中心的物理安全应该有现场警卫，24/7 全天候保护场地（内部和外部）。它还应该在所有重要区域进行视频监控记录。用户应该有访问控制，并且应该能够在需要时访问。数据中心还应在所有机柜和笼子上安装电子访问控制系统和锁，以确保安全。,网络安全和网络保护也是数据中心运营的重要组成部分。一个好的数据中心将具有 DDoS 监控和保护、一个阻止外部用户访问数据的专用防火墙、灾难恢复以防发生灾难。最后，如前所述，数据中心的主要标准之一是合规性和认证，其中包括 HIPAA、PCI 和 SSAE 合规性。, DTLA 数据中心 – 期待什么以及在哪里停车,数据中心通常位于美国人口最多的地区，包括洛杉矶、纽约、迈阿密、芝加哥、费城、旧金山、新泽西和波士顿。由于数据中心位于这些人口稠密的地区，因此访问您的数据中心需要了解停车位置。由于靠近更多用户，在这些人口稠密的地区拥有数据中心是一种标准做法。了解访问您在纽约或洛杉矶等人口稠密地区的数据中心会发生什么对用户大有裨益。,例如，访问您的 DTLA 数据中心之一与访问您的新英格兰数据中心之一不同。数据中心提供商可以帮助您确定停车地点以及访问时的预期。假设您的 DTLA 数据中心位于One Wilshire 大楼，停车费用可能在 4.50 美元到 35 美元之间，具体取决于您在那里的时间和时间。One Wilshire 大楼设有地下停车场，方便在洛杉矶市中心的喧嚣中使用。知道会发生什么将使事情变得更容易，并为用户提供更好的整体体验。请联系您的数据中心提供商，以帮助您熟悉周边地区。, 结论,数据中心是现代商业的重要组成部分。拥有数据中心设计标准和限制是确保数据中心保持用户数据安全的重要部分。无论是关于如何为数据中心供电、如何冷却数据中心、具有适当的冗余和正常运行时间，还是具有适当的安全性和合规性，这些标准和限制对于数据中心的运行方式都很重要。, ,到目前为止，很明显，数据使世界运转起来。2020 年，人们每秒创建 1.7 MB 的数据。到 2022 年，全球 70% 的国内生产总值将实现数字化。2021 年，68% 的 Instagram 用户查看了无数品牌的照片。到 2025 年，全球将有超过 200 泽字节的数据存储在云端. 每天，有 3064 亿封电子邮件被发送，500 条推文被“发推”。所有这些数据（包括“云”上的数据）都存储在世界各地的物理数据中心。由于世界通信的方式以及大多数企业通过数字化媒体运营的方式，数据中心仍然是世界不可或缺的一部分。但数据中心不仅仅是存储多台服务器的设施。数据中心运营是高科技和复杂的基础设施，可为用户提供无穷无尽的电力能力。本文分解了数据中心设计标准和限制。, 什么是数据中心设计标准？,

        美国独立服务器WAF部署模式分类根据WAF工作方式及原理不同可以分为四种工作模式：透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。下面小编就来介绍下美国独立服务器WAF部署模式分类技术原理。,        1、透明代理模式（也称网桥代理模式）,        透明代理模式的工作原理是，当WEB客户端对美国独立服务器主机有连接请求时，TCP连接请求被WAF截取和监控。WAF则偷偷的代理了WEB客户端和美国独立服务器主机之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍然是直接访问美国独立服务器主机，感知不到WAF的存在；从WAF工作转发原理看和透明网桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。,        2、反向代理模式,        反向代理模式是指将真实美国独立服务器主机的地址映射到反向代理美国独立服务器主机上。此时代理美国独立服务器主机对外就表现为一个真实美国独立服务器主机。由于客户端访问的就是WAF，因此在WAF无需像其它模式，如透明和路由代理模式，一样需要采用特殊处理去劫持客户端与美国独立服务器主机的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实美国独立服务器主机。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。,        这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的美国独立服务器主机，所以透明代理工作方式不需要在WAF上配置IP映射关系。,        3、路由代理模式,        美国独立服务器路由代理模式，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。,        4、端口镜像模式,        端口镜像模式工作时，美国独立服务器WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言，流量只进不出。,        以上就是关于美国独立服务器WAF部署模式分类的具体介绍了，希望能解答部分美国独立服务器用户关于这方面的疑惑。,        现在梦飞科技合作的美国VM机房的美国独立服务器所有配置都免费赠送防御值 ，可以有效防护网站的安全，以下是部分配置介绍：, , ,        梦飞科技已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。持续关注梦飞科技官网，获取更多IDC资讯！,, ,        美国独立服务器WAF部署模式分类根据WAF工作方式及原理不同可以分为四种工作模式：透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。下面小编就来介绍下美国独立服务器WAF部署模式分类技术原理。,        这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的美国独立服务器主机，所以透明代理工作方式不需要在WAF上配置IP映射关系。,

        美国Linux服务器的系统内核是最核心的部分，具有稳定、高性能、易维护等关键优点，美国Linux服务器把系统层和用户层分开，硬件系统之上便是内核，直接负责与底层硬件进行交互，用户应用则通过内核直接或间接与硬件打交道，本文小编就来介绍下美国Linux服务器系统内核。,        美国Linux服务器系统内核进行资源管理的单位是任务，这主要是指进程，它是由内核统一管理的，称为用户空间或用户进程，在用户模式中运行，美国Linux服务器系统内核主要负责这么几个部分：,        1：进程管理,        美国Linux服务器对进程的管理主要就是上下文切换，涉及到进程的启动、暂停、恢复与终止，其实更准确地来说应该是对任务的管理，因为管理的不仅仅是进程，还有线程，在美国Linux服务器上将进程与线程统一称之为任务。,        美国Linux服务器随着CPU的升级以及内核的改进，线程也比原先性能改进很多。上下文切换其实就是CPU时间片轮换的过程，内核提供了任务调度器，保障每个任务都能够获得其应有的CPU时间片，而内核会在上下文切换的时间间隙中获得CPU。,        在多核CPU系统中，如果新的进程在另外的一个CPU上执行，那么内核就不会让出当前的CPU使用权，与此同时美国Linux服务器内核会采用一些其他方法来提高CPU的使用率。,        2：内存管理,        美国Linux服务器CPU基本都已经实现了一种叫做MMU的机制，该机制提供了虚拟内存的内存访问机制。例如如果所分配的内存表面上看即便是连续的，在物理内存上也有可能不是连续的，因为整个过程都是虚拟的，美国Linux服务器用户无法直接感知。这相当于在物理内存之上抽象出来一个中间的映射层，通过这个中间层来访问实际的内存空间。,        通过这里的虚拟内存机制，可以保障美国Linux服务器内核空间与用户空间隔离，在内核进行上下文切换时，将MMU的内存映射表转交给获得CPU使用权的新进程使用，同时也便于内存管理。,        3：系统调用,        美国Linux服务器系统提供应用程序不能直接实现的API，例如打开文件，读取文件内容，创建套接字等等，这些都需要在内核中实现。如果创建套接字需要进行通信，则内核需要将接受到的数据拷贝到用户空间中，当前进程才可以使用，这个过程需要内核进行维护。于此同时，内核还需要维护设备驱动，这样美国Linux服务器用户就可以通过访问文件系统的方式来与设备进行IO通信。,        以上内容就是关于美国Linux服务器系统内核的介绍，希望能帮助美国服务器用户更好的理解美国Linux服务器系统的内核运作。,        现在梦飞科技合作的美国VM机房的美国Linux服务器所有配置都免费赠送防御值 ，可以有效防护网站的安全，以下是部分配置介绍：, , ,        梦飞科技已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。持续关注梦飞科技官网，获取更多IDC资讯！,, ,        美国Linux服务器的系统内核是最核心的部分，具有稳定、高性能、易维护等关键优点，美国Linux服务器把系统层和用户层分开，硬件系统之上便是内核，直接负责与底层硬件进行交互，用户应用则通过内核直接或间接与硬件打交道，本文小编就来介绍下美国Linux服务器系统内核。,        在多核CPU系统中，如果新的进程在另外的一个CPU上执行，那么内核就不会让出当前的CPU使用权，与此同时美国Linux服务器内核会采用一些其他方法来提高CPU的使用率。,

什么是机器人？机器人（bot）是一种被编程完成特定任务的软件应用程序。机器人会根据自己的指令自动运行，无需每次由人类用户启动。机器人常常模仿或者代替人类用户的行为。机器人通常执行重复性任务，且速度比人类用户快得多。,机器人一般在网络上运行；超过半数的互联网流量是由机器人产生的，它们会扫描内容、与网页互动、与用户聊天或者寻找攻击目标。一些机器人是有用的，如为搜索内容创建索引的搜索引擎机器人，或是为用户提供帮助的客服机器人。一些机器人是“恶意的”，被编程侵入用户帐户、在 web 上扫描查找联系人信息以发送垃圾邮件，或者进行其他恶意活动。如果机器人连接到互联网，会有一个相关的的 IP 地址。,,机器人类型：, 什么是恶意机器人活动？,任何违反网站所有者意图、网站服务条款或网站 Robots.txt 规则的机器人自动行为都可以被视为恶意行为。尝试实施身份窃取或者帐户盗用等网络犯罪的机器人也属于“恶意”机器人。虽然这些活动中的一些是违法行为，但有些机器人即使没有违反任何法律，也被认为是恶意的。,此外，过大的机器人流量会导致 web 服务器资源不堪重负，导致为尝试使用网站或者应用程序的合法人类用户提供的服务被拖慢或甚至中断。有时这是蓄意行为，表现为 DoS 或 DDoS 攻击的形式。,恶意机器人活动包括：,为实施此类攻击并伪装攻击流量源，恶意机器人可能分布于僵尸网络中，这意味着机器人副本在多台设备上运行，而设备用户往往对此毫无所觉。因每台设备有自己的 IP 地址，故而僵尸网络流量由大量不同的 IP 地址产生，这使得识别恶意机器人流量源并加以阻止难上加难。, 企业如何阻止恶意机器人活动？,机器人管理解决方案可通过机器学习的方式，将有害机器人活动与用户活动以及有益机器人活动区分开来。机器人管理会在不影响用户体验或是不阻止善意机器人的情况下，对恶意行为加以阻断。机器人管理解决方案应能基于异常检测行为分析，识别并阻止恶意机器人，同时仍允许有益机器人访问 Web 属性。, ,什么是机器人？机器人（bot）是一种被编程完成特定任务的软件应用程序。机器人会根据自己的指令自动运行，无需每次由人类用户启动。机器人常常模仿或者代替人类用户的行为。机器人通常执行重复性任务，且速度比人类用户快得多。,任何违反网站所有者意图、网站服务条款或网站 Robots.txt 规则的机器人自动行为都可以被视为恶意行为。尝试实施身份窃取或者帐户盗用等网络犯罪的机器人也属于“恶意”机器人。虽然这些活动中的一些是违法行为，但有些机器人即使没有违反任何法律，也被认为是恶意的。,

传输层安全性（Transport Layer Security，TLS）是一种广泛采用的安全性协议，旨在促进互联网通信的私密性和数据安全性。TLS 的主要用例是对 web 应用程序和服务器之间的通信（例如，web 浏览器加载网站）进行加密。TLS 还可以用于加密其他通信，如电子邮件、消息传递和 IP 语音（VOIP）等。在本文中，我们将重点介绍 TLS 在 web 应用程序安全中发挥的作用。,TLS 由互联网工程任务组（Internet Engineering Task Force, IETF）提出，协议的第一个版本于 1999 年发布。最新版本是 TLS 1.3，发布于 2018 年。,,TLS 和 SSL 之间有什么区别？,Netscape 开发了名为安全套接字层（Secure Socket Layer，SSL）的上一代加密协议，TLS 由此演变而来。TLS 1.0 版实际上最初作为 SSL 3.1 版开发，但在发布前更改了名称，以表明它不再与 Netscape 关联。由于这个历史原因，TLS 和 SSL 这两个术语有时会互换使用。,TLS 和 HTTPS 有什么区别？,HTTPS 是在 HTTP 协议基础上实施 TLS 加密，所有网站以及其他部分 web 服务都使用该协议。因此，任何使用 HTTPS 的网站都使用 TLS 加密。,为什么企业和 web 应用程序应该使用 TLS 协议？,TLS 加密可以帮助保护 web 应用程序免受攻击，如数据泄露和 DDoS 攻击等。此外，受 TLS 保护的 HTTPS 正在迅速成为网站的标准实践。例如，Google Chrome 浏览器正在打击非 HTTPS 网站，而且日常的互联网用户也开始更加警惕那些没有 HTTPS 挂锁图标的网站。,TLS 有什么作用？,TLS 协议实现的功能有三个主要组成部分：加密、认证和完整性。,加密：隐藏从第三方传输的数据。,身份验证：确保交换信息的各方是他们所声称的身份。,完整性：验证数据未被伪造或篡改。,TLS 如何工作？,网站或应用程序要使用 TLS，必须在其源服务器上安装 TLS 证书（由于上述命名混淆，该证书也被称为 SSL 证书）。TLS 证书由证书权威机构颁发给拥有域的个人或企业。该证书包含有关域所有者的重要信息以及服务器的公钥，两者对验证服务器身份都很重要。,TLS 连接是通过一个称为 TLS 握手的流程启动的。当用户导航到一个使用 TLS 的网站时，用户设备（也称为客户端设备）和 web 服务器之间开始 TLS 握手。,在 TLS 过程中，用户设备和 web 服务器：,指定将要使用的 TLS 版本（TLS 1.0、1.2、1.3 等）,决定将要使用哪些密码套件（见下文）,使用服务器的 TLS 证书验证服务器的身份,握手完成后，生成会话密钥用于加密两者之间的消息,TLS 握手为每个通信会话建立一个密码套件。密码套件是一组算法，其中指定了一些细节，例如哪些共享加密密钥（即会话密钥）将用于该特定会话。TLS 也能在一个未加密的通道上设置匹配的会话密钥，这要归功于一种称为公钥加密的技术。,握手还处理身份验证，其中通常包括服务器向客户端证明其身份。这是通过使用公钥来完成的。公钥是使用单向加密的加密密钥，即任何拥有公钥的人都可以解读使用服务器私钥加密的数据，以确保其真实性，但只有源发送方才可以使用私钥加密数据。服务器的公钥是其 TLS 证书的一部分。,数据完成加密和验明身份后，使用消息身份验证码（MAC）进行签名。接收方然后可以验证 MAC 来确保数据的完整性。这有点像阿司匹林药瓶上的防篡改铝箔；消费者知道没人篡改过他们的药品，因为购买时铝箔完好无损。,, TLS 如何影响 Web 应用程序性能？,TLS 的最新版本对 web 应用程序的性能几乎没有任何影响。,由于建立 TLS 连接涉及到的复杂过程，因此必须花费一些加载时间和计算能力。在传输任何数据之前，客户端和服务器必须来回通信几次，这将占用 web 应用程序宝贵的几毫秒加载时间，以及客户端和服务器的一些内存。,然而，目前已有技术帮助缓解...

云已经以几种不同的方式发展，并且通过所有这些迭代，它对世界各地的许多企业都有利。云是指通过互联网访问的数据中心服务器以及在这些服务器上运行的大量软件和数据库。这些云服务器位于世界各地的数据中心内。使用“云”和云计算为公司提供了不必管理其物理服务器或在其自己的服务器上运行软件和应用程序的灵活性。随着云的不断发展，用户正在寻找新的方法来应用这些服务器的功能。对于许多企业来说，分布式云策略可能是一个不错的选择。,, 是什么让分布式云与众不同？,许多企业以多种不同的方式从云中受益，包括成本节约、安全性、灵活性、灾难恢复等。现在云已经存在了将近 20 年（至少是云的现代迭代），用户正在寻找部署云计算的新方法，这可能会更有优势。这就是“分布式云”的用武之地。,分布式云将计算工作负载分散到众多地理分布的互连服务器中。分布式云允许传统云难以实现的几种不同的事情。战略性地将各种服务器放置在特定的地理区域可以实现最佳执行。,分布式云在几个不同方面进行了改进，因为它利用了特定位置和各种服务提供商产品。从特定提供商处选择特定位置可以为各种应用程序提供更好的响应能力和性能。这也可以改善延迟和成本，因为传输大量数据可能很昂贵。在某些位置拥有这些数据可以抑制这些成本。,分布式云还可以帮助解决安全问题。许多企业不能仅仅依赖公共云，尤其是在其关键任务工作负载方面。分布式云策略允许公司将部分数据保存在他们自己的私有云或数据中心提供的专用服务器上，同时集成公共云。,分布式云策略也有利于冗余和延迟。公司可以将他们的数据和应用程序分布在各种云中，从而为他们提供额外的冗余。在系统出现故障的情况下，数据的副本可能是有益的。由于数据的重复副本分散到各个地理位置，因此此策略还可以帮助解决延迟问题。这意味着某些数据包有可能更接近最终用户。,, 什么是内容交付网络？,内容交付网络（或 CDN）是位于世界各地不同地理位置的服务器系统。所有这些服务器都存储和缓存公司网站 CSS、JavaScript、HTML 和所有其他相关数据的副本。这听起来很熟悉吗？这是因为内容交付网络是分布式云的一个示例。,内容交付网络可以带来若干好处。首先是内容交付速度的提高。研究表明，如果页面加载时间超过两到三秒，许多页面访问者通常会寻找更快的网站。内容交付网络可以提高您的内容交付速度。使用 CDN 的网站还可以提高其搜索引擎优化排名。交付内容的速度提高会提高排名。CDN 还允许通过 HTTPS 提供资产，而不是托管在主站点上。CDN 还在搜索引擎中更快地索引图像，从而提高网站的整体排名。,内容交付网络还可以降低整个网络的负载并提高其性能。降低整体网络负载可以允许更多访问者同时访问网站而不会出现任何问题。内容交付网络有助于保持稳定性，尤其是在活动高峰期。最后，内容交付网络可以通过有效阻止 CDN 层的攻击以及在整个服务器网络中分布 DDoS 攻击保护来提高安全性。, 分布式云的缺点是什么？,分布式云架构有很多好处，但也有一些缺点。虽然 CDN 层有安全预防措施，但在安全方面存在不同的缺点。在多个领域分配资源可能很难跟踪。这会使安全预防措施更难管理。,,另一个可能对分布式云架构构成挑战的方面是带宽。广泛分布的环境可以为每个区域提供各种连接模型。将更多计算转移到边缘可能会给需要升级以满足这一需求的宽带连接增加一些压力。,最后，分布在不同位置的数据可能需要额外的备份和恢复策略。如果做得不好，保护和保护数据和资源可能会很困难。虽然分布式云有很多好处，但这些都是在将资源广泛分散到不同区域时可能出现的挑战。, 结论,云对各行各业的许多公司都有利，而分布式云有可能成为许多企业的绝佳选择。这种类型的混合多云基础架构可以提高特定区域的可见性、可扩展性、合规性和内容交付。管理分布式云可能是一个优点或一个缺点，具体取决于它的设置方式。,要让内容交付网络或分布式云为公司服务，选择一个好的数据中心供应商是必不可少的。值得信赖的数据中心供应商可以成就或破坏这种架构。可管理性将取决于提供商公司的合作伙伴。寻找具有所有适当认证和合规性（包括 HIPAA、PCI DSS、SSAE 18、SOC 和 ISO 27001）的数据中心提供商非常重要。, ,云已经以几种不同的方式发展，并且通过所有这些迭代，它对世界各地的许多企业都有利。云是指通过互联网访问的数据中心服务器以及在这些服务器上运行的大量软件和数据库。这些云服务器位于世界各地的数据中心内。使用“云”和云计算为公司提供了不必管理其物理服务器或在其自己的服务器上运行软件和应用程序的灵活性。随着云的不断发展，用户正在寻找新的方法来应用这些服务器的功能。对于许多企业来说，分布式云策略可能是一个不错的选择。,分布式云在几个不同方面进行了改进，因为它利用了特定位置和各种服务提供商产品。从特定提供商处选择特定位置可以为各种应用程序提供更好的响应能力和性能。这也可以改善延迟和成本，因为传输大量数据可能很昂贵。在某些位置拥有这些数据可以抑制这些成本。,

几乎所有网络流量都需要标准DNS查询，这为 DNS 攻击（例如 DNS 劫持和路径攻击）创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本，收集敏感的用户信息并使企业承担重大责任。防御 DNS 威胁的最著名方法之一是采用 DNSSEC 协议。, 什么是 DNSSEC？,与许多 Internet协议一样，DNS 系统的设计并未考虑到安全性，并且包含一些设计限制。这些限制与技术进步相结合，使攻击者很容易出于恶意目的劫持 DNS 查找，例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。,,DNS 安全扩展 (DNSSEC) 是为缓解此问题而创建的安全协议。DNSSEC 通过对数据进行数字签名来防止攻击，以帮助确保其有效性。为了确保安全查找，签名必须在 DNS 查找过程的每个级别进行。,这个签名过程类似于某人用笔在法律文件上签名；该人使用其他人无法创建的唯一签名进行签名，法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。,DNSSEC 跨 DNS 的所有层实施分层数字签名策略。例如，在“google.com”查找的情况下，根 DNS 服务器将为.COM 域名服务器签署一个密钥，然后 .COM 域名服务器将为 google.com 的权威域名服务器签署一个密钥。,虽然始终首选提高安全性，但 DNSSEC 旨在向后兼容，以确保传统 DNS 查找仍然正确解析，尽管没有增加安全性。DNSSEC 旨在与SSL / TLS等其他安全措施一起使用，作为整体 Internet 安全策略的一部分。,DNSSEC 创建了一个一直到根区域的父子信任链。这个信任链不能在 DNS 的任何层受到损害，否则请求将变得容易受到路径上的攻击。,要关闭信任链，需要验证根区本身（证明没有篡改或欺诈），而这实际上是通过人工干预来完成的。有趣的是，在所谓的根区签名仪式中，来自世界各地的选定个人会面以公开且经过审核的方式签署根 DNSKEY RRset。, 涉及 DNS 的常见攻击有哪些？,DNSSEC 是一种功能强大的安全协议，但遗憾的是它目前并未被普遍采用。除了 DNS 是大多数 Internet 请求不可或缺的一部分这一事实之外，这种缺乏采用加上其他潜在的漏洞，使得 DNS 成为恶意攻击的主要目标。攻击者已经找到了许多针对和利用 DNS 服务器的方法。以下是一些最常见的：, 防御基于 DNS 的攻击的最佳方法是什么？,除了 DNSSEC，DNS 区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础设施是克服DDoS 攻击的一种简单策略。简而言之，如果您的名称服务器可以处理比您预期多几倍的流量，那么基于容量的攻击就更难压倒您的服务器。,Anycast 路由是另一个可以破坏 DDoS 攻击的便捷工具。Anycast 允许多台服务器共享一个 IP 地址，因此即使一台 DNS 服务器关闭，仍然会有其他服务器启动并提供服务。另一种保护 DNS 服务器的流行策略是 DNS 防火墙。, 什么是 DNS 防火墙？,DNS 防火墙是一种工具，可以为 DNS 服务器提供许多安全和性能服务。DNS 防火墙位于用户的递归解析器和他们试图访问的网站或服务的权威名称服务器之间。防火墙可以提供速率限制服务来关闭试图压倒服务器的攻击者。如果服务器确实因攻击或任何其他原因而停机，DNS 防火墙可以通过提供来自缓存的 DNS 响应来保持运营商的站点或服务正常运行。,除了其安全功能外，DNS 防火墙还可以提供性能解决方案，例如更快的 DNS 查找和降低 DNS 运营商的带宽成本。, DNS 作为安全工具,DNS 解析器也可以配置为为其最终用户（浏览 Internet 的人）提供安全解决方案。一些 DNS 解析器提供内容过滤等功能，可以阻止已知分发恶意软件和垃圾邮件的网站，以及阻止与已知僵尸网络通信的僵尸网络保护。许多这些安全的 DNS 解析器都是免费使用的，用户可以通过更改其本地路由器中的单个设置来切换到这些递归 DNS服务之一。, DNS 查询是私有的吗？,另一个重要的 DNS 安全问题是用户隐私。DNS 查询未加密。即使用户使用像1.1.1.1这样不跟踪他们活动的 DNS 解析器，DNS 查询也会以明文形式在 Internet 上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。,缺乏隐私会影响安全，在某些情况下还会影响人权；如果 DNS 查询不是私人的，那么政府审查互联网和攻击者跟踪用户的在线行为变得更容易。DNS over TLS 和 DNS over HTTPS是加密 DNS 查询的两个标准，以防止外部各方能够读取它们。还与其他组织合作以帮助提高...

CDN 的重要特征之一是它能够在面对常见的网络问题（包括硬件故障和网络拥塞）时保持网站内容在线。通过负载平衡 Internet 流量、使用智能故障转移以及跨多个数据中心维护服务器，CDN 旨在规避网络拥塞并抵御服务中断。,, 什么是负载均衡？CDN如何负载均衡流量？,负载均衡器的目的是在多个服务器之间平均分配网络流量。负载平衡可以基于硬件或软件。CDN 使用数据中心中的负载平衡在可用服务器池中分配传入请求，以确保以最有效的方式处理流量峰值。通过有效利用可用资源，负载平衡能够提高处理速度并有效利用服务器容量。对传入流量进行适当的负载平衡是缓解非典型 Internet 活动期间（例如，当网站遇到异常大量的访问者或在分布式拒绝服务攻击期间）发生的流量峰值的关键组成部分。,当服务器资源的可用性上下波动时，CDN 还使用负载平衡来快速有效地进行更改。如果服务器发生故障并发生故障转移，负载平衡器将重定向为故障服务器分配的流量，并按比例将其分配给其余服务器。这通过增加硬件故障不会中断流量的可能性来提供弹性和可靠性。当数据中心有新服务器上线时，负载均衡器会按比例分担其他服务器的负载，提高新硬件的利用率。基于软件的负载平衡服务允许 CDN 快速扩展负载平衡容量，而不会出现使用物理负载平衡硬件时出现的瓶颈。,什么是故障转移？服务器之间如何进行 CDN 故障转移？,在需要高度可靠性和接近连续可用性的计算机系统中，故障转移用于防止在服务器不可用时丢失流量。当服务器出现故障时，需要将流量重新路由到仍在运行的服务器。通过自动将任务卸载到备用系统或具有可用容量的另一台机器，智能故障转移可以防止对用户的服务中断。,, CDN 如何通过 Internet 可靠地提供内容？,CDN 就像一个 GPS 系统加上快速收费公路；CDN 将能够找到到达远方位置的最佳路径，并且能够使用自己的网络尽快找到到达那里的最佳路径。,当用户从诸如网页或 Web 应用程序之类的 Internet 属性加载内容时，会进行一系列连接以到达提供内容的位置。网络流量可以比喻为道路和高速公路系统；较小的地面街道将本地交通转移到同一地区，州际高速公路将交通转移到不同的州。当出现问题时，例如油罐车将主要路径上的州际高速公路的所有车道阻塞到不同的状态，交通必须找到另一条路径。就像穿越不同州的高速公路一样，交通通常必须跨越不同的网络才能到达最终目的地。如果特定网络中存在阻塞，则必须将流量重定向到不同的路径。此过程可能既耗时又低效。,假设旧金山的用户正在加载洛杉矶的网站。连接有很多步骤，但在此示例中，最重要的步骤之一是网络信号在前往最终目的地的途中通过位于圣何塞的电信提供商。当网络工程师不小心将咖啡倒在圣何塞的路由设备上时，提供商会离线，断开连接（发生了奇怪的事情）。当这种情况发生时，除非网络流量被重新路由以适应新的网络环境，否则用户将无法再加载他们的 Internet 内容。如果用户想要到达洛杉矶，现在需要通过不同的电信提供商提出请求。,现在流量不再能够通过预期的网络，它必须转而进入由不同组织维护的完全不同的网络。这种重新协商和切换网络的过程可能会在一个网络请求中发生多次，这样的实例可能会增加延迟，并可能将流量推到拥塞的路径上，从而导致延迟。一个足够大的 CDN 通常会通过将服务器放置在Internet 交换点 (IXP)和其他战略位置来控制自己的网络连接。这些优化的网络架构允许 CDN 提供商优化路由并减少延迟。,, CDN 如何使用 Anycast 网络来提高可靠性？,一些 CDN 将使用Anycast路由方法将 Internet 流量传输到特定的可用数据中心。这样做是为了确保改进响应时间，并防止任何一个数据中心在出现异常需求（例如在 DDoS 攻击期间）时被流量淹没。,使用 Anycast，多台机器可以共享同一个IP 地址。当请求发送到 Anycast IP 地址时，路由器会将其定向到网络上最近的机器。如果整个数据中心出现故障或因流量过大而无法运行，Anycast 网络可以响应中断，类似于负载均衡器在数据中心内的多台服务器之间传输流量的方式；数据从故障位置路由出去，而是路由到另一个仍然在线且正常运行的数据中心。,DDoS 攻击是目前对 Internet 资产可靠性的最大威胁之一。使用 Anycast 的 CDN 在缓解 DDoS 攻击方面具有额外的灵活性。在大多数现代 DDoS 攻击中，许多入侵计算机或“机器人”被用来形成所谓的僵尸网络。这些受感染的机器可以产生如此多的互联网流量，以至于它们可以压倒典型的单播连接机器。借助 Anycast 网络，部分僵尸网络攻击流量可以分布在多个数据中心，从而减少攻击的影响。, ,CDN 的重要特征之一是它能够在面对常见的网络问题（包括硬件故障和网络拥塞）时保持网站内容在线。通过负载平衡 Internet 流量、使用智能故障转移以及跨多个数据中心维护服务器，CDN 旨在规避网络拥塞并抵御服务中断。,什么是故障转移？服务器之间如何进行 CDN 故障转移？,

与暴露于互联网的所有网络一样，CDN 必须防御在途攻击、数据泄露，以及试图通过 DDoS 攻击压垮目标源服务器的网络的行为。CDN 可使用多种策略来缓解漏洞，包括适当的 SSL/TLS 加密和专门的加密硬件。,,什么是 SSL/TLS 加密？,传输层安全（TLS）是用于加密通过互联网发送的数据的协议。TLS 源于安全套接字层（SSL）（首个被广泛采用的 Web 加密协议），旨在是修复大多数早期协议的安全漏洞。出于历史原因，业界仍然在某种程度上互换使用这两个术语。如果您访问 web 站点地址开头为 https:// 而非 http://，那么该网站在浏览器和服务器之间进行的通信使用 TLS/SSL 加密。,为了防止攻击者访问重要数据，必须采取适当的加密方法。由于互联网的设计方式允许数据在许多位置之间传输，因此可以在含有重要信息的数据包在全球范围内传播时截获它们。通过使用加密协议，只有预期的接收者才能够解码和读取信息，防止中间人对所传输数据的内容进行解码。,TLS 协议设计为提供 3 个组件：,身份验证：验证所提供身份标识的有效性,加密：模糊化从一台主机发送到另一主机的信息,完整性：检测伪造和篡改,什么是 SSL 证书？,要启用 TLS，站点需要 SSL 证书和相应的密钥。证书是包含有关站点所有者以及非对称密钥对中公钥部分的信息的文件。证书颁发机构（CA）对证书进行数字签名，以核实证书中的信息正确无误。信任证书即表示，您信任证书颁发机构已进行了尽职调查。,操作系统和浏览器通常具有一份隐式信任的证书颁发机构名单。如果网站提供的证书是由不受信任的证书颁发机构签名的，则浏览器会警告访问者可能存在某种问题。,证书及其实施方式也可以根据强度、协议支持和其他特征进行独立评级。随着更新、更好的实施变得可用，或者其他因素导致认证实施的整体安全性降低，评级可能会不时变化。如果源服务器的 SSL 安全性实施比较旧且等级较低，那么其评级通常会比较差，而且容易受到破坏。,CDN 还有一个好处，使用 CDN 提供的证书可以为访问其网络内托管的资产的访问者提供安全保护。因为访问者仅连接到 CDN，所以源服务器和 CDN 之间使用较旧或较不安全的证书不会影响客户端的体验。,实际上，这种服务器至边缘安全的薄弱仍然是一种漏洞，应予以避免，特别是考虑到有可能使用免费源加密轻松升级源服务器安全性的情况。,适当的安全性对于有机搜索也很重要；加密的 Web 资产在 Google 搜索中的排名更高。,SSL/TLS 连接的运作不同于传统的 TCP/IP 连接。在完成了 TCP 连接的初始阶段后，就会发生单独的交换以建立安全连接。本文把请求安全连接的设备称为客户端，并把提供安全连接的设备称为服务器，就像用户加载使用 SSL/TLS 加密的网页时那样。,首先，通过 3 个步骤进行TCP/IP 握手：,1.客户端向服务器发送 SYN 数据包以发起连接。,2.服务器接着通过 SYN/ACK 数据包对着初始数据包做出响应，以便确认通信。,3.最后，客户端返回 ACK 数据包以确认接到服务器发出的数据包。完成这一系列数据包发送和接收操作后，TCP 连接将处于打开状态并且能够发送和接收数据。,完成 TCP/IP 握手后，开始 TLS 加密握手。TLS 握手实施背后的详细过程不在本指南的讨论范畴。我们重点探讨握手的核心目的，以及完成该过程所需的时间。,从高层次上讲，TLS 握手包含三个主要组成部分：,客户端与服务器协商 TLS 版本，以及通信中要使用的加密算法类型。,客户端和服务器采取相应步骤，以确保彼此进行真实的通信。,交换密钥，以用于以后的加密通信。,下图呈现了 TCP/IP 握手和 TLS 握手中涉及的每个步骤。请注意，每个箭头代表一个单独的通信，该通信必须在客户端和服务器之间进行物理传输。由于使用 TLS 加密时来回消息总数会增加，因此网页加载时间也会增加。,出于说明目的，可以说 TCP 握手大约需要 50 毫秒，TLS 握手可能需要大约 110 毫秒。这主要是由于数据在客户端和服务器之间双向发送所花费的时间。往返时间 (RTT)的概念，即信息从一个设备传输到另一个设备并返回所需的时间量，可用于量化创建连接的“昂贵”程度。如果不进行优化并且不使用 CDN，额外的 RTT 代表最终用户的延迟增加和加载时间减少。幸运的是，可以进行一些优化来改善总加载时间并减少来回旅行的次数。,如何改善 SSL 延迟？,SSL 优化可以减少 RTT 并缩短页面加载时间。下方列出了可以优化 TLS 连接的 3 种方式：,TLS 会话恢复：CDN 可以为其他请求恢复同一会话，使源服务器和 CDN 网络之间的连接保持更长的时间。当客户端需要进行未缓存的源获取时，使连接保持活动状态可以节省重新协商 CDN 与源服务器之间连接所花费的时间。只要源服务器在保持与 CDN 的连接的同时收到其他请求，该站点的其他访问者就会体验到较低的延迟。,会话恢复的总成本不到完整 TLS 握手的 50%，主要是因为会话恢复只需要一次往返，而完整的 TLS 握手需要两次。此外，会话恢复不需要任何大的有限域算法（新会话需要），因此与完整的 TLS 握手相比，客户端的 CPU 成本几乎可以忽略不计。对于移动用户而言，会话恢复带来的性能提升意味着更具反应性和电池寿命友好的冲浪体验。,启用 TLS 虚假启动：访问者首次访问网站时，上文所述的会话恢复将无济于事。TLS 虚假启动允许发送方无需进行完整的 TLS 握手，就能发送应用程序数据。,虚假启动不会修改 TLS 协议本身，只会改变数据传输的时间。一旦客户端开始密钥交换，加密确保会发生，数据传输就可开始。这一修改可减少往返总次数，将所需的延迟缩短 60 毫秒。,零往返时间恢复（0-RTT）：0-RTT 允许会话恢复，而且不增加连接的RTT 延迟。对于使用TLS 1.3和0-RTT 的恢复连接，连接速度得以改善，从而为用户经常访问的网站带来了更快速、更流畅的Web...