WEB安全架构

网络安全：
- 按照网络维度不同，分为：外部网络安全；内部网络安全；主机安全
- 外部网络安全：用于区分服务同互联网边界上的安全。如：专线(物理上网线区分);WAF(WEB应用防火墙)/DDoS分布式拒绝服务攻击（Distributed Denial of Service attack）
- 内部网络安全：主要指服务内部的网络安全规划，防止用户攻破一点全部攻破(原来的航母只有外壳，开个洞就会沉；现在都是蜂巢设计)。主要工作是：VPC虚拟私有网络、安全组（逻辑上的拆分），并控制相互之间的网络ACL（Network Access Control List）
- 运行主机和容器的安全：安全的操作系统，即使扫描和修补漏洞，防止后门等。比如可以购买华为云企业主机安全（Host Security Service，HSS）服务，安全容器服务CGS

应用系统安全：
- 应用开发过程中需要注意的漏洞
- 在代码层面解决掉。防止跨站脚本攻击（XSS），注入攻击，跨站请求伪造（CSRF），错误信息，HTML注释，文件上传，路径遍历等。

数据安全：
- 存储安全：
- 敏感数据加密
- 对数据操作进行控制和进行审计
- DB数据存储(操作审计； 敏感数据加密) 、OSS文件存储。各个云都有自己的数据库安全服务，可以购买
- 数据备份方案
- 传输安全：
- 秘钥存储和加密算法
- 采用SSL进行加密传输

运维安全：
- 运维网络安全保障：使用专线或者VPN
- 使用堡垒机操作：可对操作过程进行权限控制，审计日志记录，高危命令拦截等
-

VPN子网规划实践：
1. 研发和正式子网分离
2. VPC虚拟子网拆实践：
- 数据VPC（RDS，OSS等）
- 中间件VPC(Redis，Kafka等)
- 后端服务VPC（部署后端服务）
- 前端服务VPC（部署前端服务）
- 其他公共服务（鉴权服务；发送消息等公用服务）
3. 将运维相关服务独立VPC
- 部署管理服务，运维堡垒机等

名词解释：
WAF的全称是Web Application Firewall（Web应用防火墙）‌
-- Web应用防火墙对网站或APP的业务流量进行恶意特征识别及防护，将清洗后的安全流量返回至服务器。避免服务器被恶意攻击及入侵，应用被挂马和篡改，保护核心数据安全，保障业务稳定运转。

DDoS攻击，全称为分布式拒绝服务攻击（Distributed Denial of Service attack）
是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源，从而导致网站无法正常运行或在线服务无法正常提供。

网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中云服务器ECS实例流量的访问控制。

专有网络VPC（Virtual Private Cloud）是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离，用户可以在自己创建的专有网络内创建和管理云产品实例，比如ECS、SLB、RDS等。

安全组：是一种虚拟防火墙，能够控制ECS实例的出入站流量。您可以将具有相同安全需求并相互信任的ECS实例放入相同的安全组，以划分安全域，保障云上资源的安全。本文介绍安全组的功能、分类、最佳实践和操作指引等。
https://help.aliyun.com/zh/ecs/user-guide/overview-44?spm=a2c4g.11186623.help-menu-25365.d_4_6_0.6dad6418Q3E2Jy
https://blog.csdn.net/c1c7lqbz/article/details/147834482

学习网站：
https://www.pdai.tech/md/arch/arch-x-security.html