网络安全分析和公有云使用的安全性

楼主从一个故事讲起，让我想起之前超级计算机被入侵的事情。

首先网络安全一直不是一件简单事情，而且大家对黑客入侵一直抱有神秘未知的认知。我们可以把复杂的事情进行拆解分析，首先入侵面我们可以分为OSI七层，自下而上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

物理层：是一些基础硬件设施实现的数据传输环境。大家采购网络设备和服务器的时候已经自带一般不会修改，漏洞也比较少

数据链路层: 大家熟知的mac地址就工作在这一层。因为一些标准化的协议导致大家在这一层需要做的事情也较少

网络层: ip地址工作的区域，大家往往通过交换机，路由器，防火墙进行设置白名单，划分vlan达到安全传输。因为ip地址传输并不会对源主机校验，所以无法完全依赖ip白名单，建议使用加密技术vpn等方法来避免此问题。

传输层: 则是大家熟知的TCP，UDP，黑客往往通过扫描常见端口来攻击一些常见服务，通过限制和关闭对外端口，减少受攻击的面。

会话层、表示层和应用层:这三个层有时候大家会归结到应用这一层， 主要基于大家使用不同的系统和应用程序展现不同形式。这三个层面不仅对大家最为开放，标准和规则多变，而且出现问题的概率也最大。只能尽量要求我们的代码逻辑严谨，少出一些bug。

通过上面对OSI七层简单描述大家会发现，主要安全措施我们还是在网络层、传输层、会话层、表示层和应用层，黑客攻击也主要发生在这5层。

---------------------------------------------------------------------------------------

现在谈谈公有云和自建机房在安全方面的区别：

在网络层和传输层：自建机房至少需要一个网络工程师熟知交换机，路由器，防火墙配置使用和网络进行合理规划，网络设备安全常识，即使这样你还有可能碰到一些意向不到的状况，例如：持续遭遇到大量ddos攻击，这时候如果攻击带宽超过

机房的带宽那么无论如果你的站点已经无法被用户访问到了。而公有云只需要你知道基本网络知识，给你的主机设置安全组，配置端口安全扫描，一旦出现问题也能及时发现，即使遇到ddos攻击公有云的安全产品

也能帮你解决。

会话层、表示层和应用层: 这三层一直是漏洞高发区，因为一些中小公司很喜欢用一些开源项目或工具，而且代码的质量也参差不齐，公司又没有相应安全人员储备导致这里更容易被入侵。自建机房你只能招

聘相应安全人员进行代码审核，这是很多公司不想做的。公有云因为运营商的体量较大有相对成熟的安全产品，可以帮助大家使用较低的成本更好的完成这份工作。

终于到关键点了，即使上了云，也不能保证你的绝对安全。好比一个小孩拿把宝剑却不知如何挥舞。只有增强网络安全意识，学习安全知识，掌握各种安全手段才能让我们的网站更安全。

本文始发于微信公众号（飓风网络安全）：网络安全分析和公有云使用的安全性