微軟的員工Jeff Alexander近日從營運團隊那獲得了一些資訊,以下將談論到微軟如何使用IIS、防火牆和Windows Server 2008,藉此機會大家也得以瞭解微軟網站幕後的一些情況。
www.microsoft.com至今仍未使用防火牆,而且未來也沒有打算要採用,原因包含以下幾點:
1. 由於網站未處理HBI資料(他沒有多解釋,我想應該是指high business impact),所以不需要進行外部的紀錄。
2. 僅僅www.microsoft.com和update.microsoft.com每天的IIS日誌就接近650GB(這還不包括每個下載伺服器每小時產生6GB的量)。單就IIS的日誌大小就已經是個挑戰,更別說去解析另外一個650GB(防火牆)的日誌。
3. 五年前微軟還找不到可以滿足需求的防火牆解決方案,所以不得不將焦點放在網路、主機和應用程式的安全性上。由於這方面的工作十分成功,儘管現在已經有可以處理這麼大流量(非下載網站流量8-9Gbps、內部網路流量約30Gbps)的防火牆,他們也不打算採用。
4. 到2006年7月之前,微軟還使用NLB(網路負載平衡)系統,在他們這種切割為細小單位的網路環境下建構防火牆變得既昂貴又複雜。
5. 一般而言,防火牆會允許所有經由正確連接埠的流量直達網站伺服器,因而應用程式安全變得非常重要,IIS/ASP.NET/應用程式要能夠適宜的處理這些流量。當然他們也瞭解不同的防火牆/入侵防禦系統對此問題會提供一些額外的防禦方式。
而微軟保護網站的作法如下(由外部列到內部):
1. 利用Cisco Guards檢測和回應DoS攻擊。
2. 利用路由器ACLs阻擋不必要的連接埠。
3. www.microsoft.com、MSDN、TechNet都採用NetScalers來管理流量,同時它還提供了抵擋DoS攻擊等功能,update.microsoft.com則仍然使用NLB。
4. www.microsoft.com已 經採用Windows Server 2008/IIS7,MSDN/TecNet也正轉換到該版本中,update.microsoft.com則採用Windows Server 2003/IIS6。他們按照微軟公佈的安全準則關閉了一些未使用的服務,並利用GFS確保系統建立的標準化。
5. 在發生SYN floods攻擊時,NLB系統會使用自動啟動Network Monitor、Performance Monitor來擷取並分析攻擊。目前在NetScaler系統上尚未完成這部份的功能。
6. 如果情況許可他們會在伺服器上執行防毒程式,雖然有時他們不會採用安裝在系統上的方式運作。
7. 前面提到的應用程式安全主要由ACE負責,這是一個內部小組,主要負責應用