កូដរបស់អ្នកសរសេរកាន់តែស្មុគស្មាញ ជាងវាត្រូវតែមាន ហើយអ្នកមានកូដដដែលៗច្រើន ដែលធ្វើឱ្យវាកាន់តែពិបាកយល់ និងផ្លាស់ប្តូរកូដ។ ដូច្នេះដំបូងខ្ញុំនឹងរៀបរាប់អំពីរបៀបខ្លី និងធ្វើឲ្យកូដរបស់អ្នកមានលក្ខណៈទូទៅ។ វានឹងធ្វើឱ្យកាន់តែងាយស្រួលក្នុងការអនុវត្តមុខងារថ្មីៗ ដូចជាការធ្វើឱ្យកាតមិនត្រឹមត្រូវបន្ទាប់ពីបញ្ចូលលេខ PIN ខុសចំនួន 3 ។
1. របៀបតំឡើងបញ្ជីត្រួតពិនិត្យការចូលប្រើបណ្តាញ AWS សម្រាប់ SSH ទៅកាន់បណ្តាញរងឯកជន
រឿងដំបូងគឺត្រូវកំណត់អត្ថន័យនៃពាក្យមួយចំនួន។NACLS - បញ្ជីត្រួតពិនិត្យការចូលប្រើបណ្តាញ គឺជាតម្រងកញ្ចប់ព័ត៌មានដែលមិនមានរដ្ឋដែលត្រូវបានអនុវត្តនៅកម្រិតបណ្តាញរង។ ទិដ្ឋភាព 'state-less' មានសារៈសំខាន់ដែលត្រូវចងចាំ នេះមានន័យថា អ្នកត្រូវមានភាពច្បាស់លាស់សម្រាប់ចរាចរណ៍ទាំងអស់ដែលចូល និងចាកចេញពីបណ្តាញរង។ ឧទាហរណ៍ជាមួយនឹងវិធីសាស្រ្ត 'រដ្ឋពេញលេញ' (ដែលជាអ្វីដែលក្រុមសន្តិសុខក្នុង AWS អនុវត្ត) អ្នកអាចបញ្ជាក់ចរាចរណ៍ចូលរបស់ TCP/22 សម្រាប់ SSH ហើយវានឹងអនុញ្ញាតឱ្យចរាចរចេញចូលដោយស្វ័យប្រវត្តិ។ ជាមួយនឹង NACLS នេះមិនមែនជាករណីនោះទេ អ្នកនឹងត្រូវបញ្ជាក់ច្បាប់ក្នុងទិសដៅនីមួយៗ ដើម្បីអនុញ្ញាតឱ្យចរាចរណ៍ឆ្លងកាត់។ ក្រុមសុវត្ថិភាព - ទាំងនេះគឺជាក្រុមនៃច្បាប់ពេញលេញរបស់រដ្ឋដែលអាចត្រូវបានអនុវត្តចំពោះករណីមួយ ឬច្រើននៅក្នុង VPC ។ ចំណាំថាពួកគេអនុវត្តនៅកម្រិតឧទាហរណ៍។ ក្រុមសន្តិសុខអាចប្រៀបធៀបទៅនឹងជញ្ជាំងភ្លើងពេញលក្ខណៈបែបប្រពៃណី ប៉ុន្តែដោយសារវាអនុវត្តនៅកម្រិតវត្ថុនីមួយៗ អ្នកអាចបែងចែកឧទាហរណ៍ពីគ្នាទៅវិញទៅមកសូម្បីតែនៅក្នុងបណ្តាញរងដូចគ្នាដែលល្អក៏ដោយ។ ហើយដោយសារតែពួកវាមានសភាពពេញលេញ ប្រសិនបើអ្នកចង់អនុញ្ញាតឱ្យចរាចរចូលទៅក្នុងម៉ាស៊ីនមេ (ឧទាហរណ៍ TCP/22 សម្រាប់ SSH) អ្នកមិនចាំបាច់ព្រួយបារម្ភអំពីការបង្កើតច្បាប់ចេញក្រៅដែលត្រូវគ្នានោះទេ វេទិកានឹងថែរក្សាវាដោយស្វ័យប្រវត្តិ ដូច្នេះពួកគេ កាន់តែងាយស្រួលក្នុងការគ្រប់គ្រង ដែលមានន័យថាមានឱកាសតិចនៃកំហុស។ មានតារាងដ៏ល្អមួយដែលប្រៀបធៀបទាំងពីរនេះ៖ ការប្រៀបធៀបសុវត្ថិភាព VPC វាក៏មានដ្យាក្រាមដ៏ល្អមួយនៅលើទំព័រនោះដែលបង្ហាញពីលំដាប់នៃអ្វីដែលត្រូវបានអនុវត្តសម្រាប់ចរាចរណ៍អាស្រ័យលើទិសដៅនៃ លំហូរ។ ។ . ដូច្នេះ ពិនិត្យ មើល ។ បន្ទាប់មកនៅក្នុងលក្ខខណ្ឌនៃបណ្តាញរង យើងមាន៖ បណ្តាញរងសាធារណៈ - នៅក្នុងលក្ខខណ្ឌ AWS នេះគ្រាន់តែជាបណ្តាញរងដែលមានតារាងផ្លូវដែលបានភ្ជាប់ដែលមានផ្លូវ 0.0.0.0/0 តាមរយៈបណ្តាញរង Internet GatewayPrivate ដែលបានភ្ជាប់ - នេះគឺផ្ទុយពីនេះ។ វាមិនមានផ្លូវ 0.0.0.0/0 តាមរយៈ Internet Gateway ដែលភ្ជាប់មកជាមួយទេ។ ចំណាំថាវានៅតែអាចមាន 0 ។ 0. 0. ផ្លូវ 0/0 តាមរយៈ NAT Gateway ឬប្រូកស៊ីស្រដៀងគ្នានៅក្នុងបរិស្ថានរបស់អ្នក គ្រាន់តែមិនផ្ទាល់។ សំណួរគឺនៅពេលដែលអ្នកមាន NACLS និងក្រុមសុវត្ថិភាព - ដែលអ្នកប្រើ។ AWS ពិពណ៌នាអំពី NACLs ជា "ស្រទាប់សុវត្ថិភាពជាជម្រើសសម្រាប់ VPC របស់អ្នក"។ ហើយវាជាការពិតដែលថាជាទូទៅក្រុមសន្តិសុខគឺគ្រប់គ្រាន់ ពួកគេមានភាពបត់បែនជាង និងផ្តល់ការការពារដូចគ្នា។ តាមបទពិសោធន៍របស់ខ្ញុំ មានករណីធម្មតាមួយចំនួនដែលខ្ញុំឃើញ NACLS ប្រើយ៉ាងណាក៏ដោយ៖ AWS ក៏ផ្តល់ការណែនាំខ្លះៗអំពីសេណារីយ៉ូនៃការកំណត់រចនាសម្ព័ន្ធមួយចំនួនដែលមាននៅទីនេះ៖ ច្បាប់បណ្តាញ ACL ដែលបានណែនាំសម្រាប់ការណែនាំ VPCMy ទោះបីជាជាធម្មតាក្រុមសន្តិសុខផ្តល់ការការពារសមរម្យក៏ដោយ ងាយយល់ជាង។ និងកំណត់រចនាសម្ព័ន្ធ និងមានភាពបត់បែន និងលម្អិតបន្ថែមទៀតនៅក្នុងកម្មវិធីរបស់ពួកគេ។ NACLs ផ្តល់ឱ្យអ្នកនូវ backstop បន្ថែមសម្រាប់កំហុសរបស់មនុស្ស ឬការកំណត់រចនាសម្ព័ន្ធកម្រិតខ្ពស់បន្ថែមទៀត ប៉ុន្តែសម្រាប់ការប្រើប្រាស់ជាមូលដ្ឋាន ពួកគេមិនត្រូវបានប្រើជាធម្មតាទេ។ ដូច្នេះហើយ ខ្ញុំសន្មត់ថាហេតុអ្វីបានជា AWS សំដៅលើពួកវាថាជា "ស្រេចចិត្ត"។ ខ្ញុំនឹងទុក NACLs នៅក្នុងការកំណត់លំនាំដើមរបស់ពួកគេ (អនុញ្ញាតឱ្យមានចរាចរណ៍ចូល និងចេញទាំងអស់) ហើយជំនួសមកវិញដោយផ្តោតលើក្រុមសុវត្ថិភាពសម្រាប់ពេលនេះ ព្រោះថាការប្រើប្រាស់ NACLs ជាស្រទាប់ទីពីរនឹងបន្ថែមតែផ្នែកបន្ថែមប៉ុណ្ណោះ។ ស្រទាប់នៃភាពស្មុគស្មាញដែលប្រហែលជាមិនត្រូវការនៅក្នុងសេណារីយ៉ូរបស់អ្នក។ តាមទស្សនៈនៃការរៀនសូត្រ វាជាការប្រសើរណាស់ដែលដឹងថាពួកគេនៅទីនោះ ពួកគេមិនមានរដ្ឋ ពួកគេអនុវត្តនៅកម្រិតបណ្តាញរង ហើយពួកគេអនុវត្តបន្ទាប់ពីការសម្រេចចិត្តអំពីផ្លូវ និងមុនពេលក្រុមសន្តិសុខនៅលើចរាចរណ៍ចូលទៅក្នុងបណ្តាញរង។ ទាក់ទងនឹងស្ថានភាពជាក់លាក់របស់អ្នក ដោយសារតែអ្នកកំពុងប្រើ NACLs អ្នកត្រូវចាំថា ពួកវាមិនមានរដ្ឋទេ។ ដូច្នេះចរាចរណ៍ទាំងអស់ដែលហូរចូល និងចេញពីបណ្តាញរងចាំបាច់ត្រូវគិតគូរ - មូលហេតុចម្បងដែលក្រុមសន្តិសុខមានភាពងាយស្រួលជាងនេះ។ ដូច្នេះក្នុងករណីរបស់អ្នកមាន៖ អ្នកត្រូវបន្ថែមច្បាប់ដូចជាច្បាប់ #300 (ប៉ុន្តែចំណាំថាអ្នកបានធ្វើទ្រង់ទ្រាយប្រភព IP ខុសបន្តិច - មើលខាងក្រោម) នៅលើបណ្តាញរងសាធារណៈខាងក្រៅ ACL របស់អ្នក ប៉ុន្តែត្រូវបានចងភ្ជាប់ជាមួយនឹងប្រភពនៃបណ្តាញរងឯកជន។ . បន្ទាប់មកសន្មត់ថាក្រុមសន្តិសុខរបស់អ្នកត្រូវបានកំណត់រចនាសម្ព័ន្ធបានល្អ នោះអ្នកគួរតែទៅ។ សង្ឃឹមថាអាចជួយបាន។ ដើម្បីបន្ថែម - ដូចទៅនឹងចម្លើយផ្សេងទៀត - ច្បាប់ #300 នៅលើសំណុំច្បាប់ចេញនៃបណ្តាញរងសាធារណៈមិនត្រូវបានធ្វើទ្រង់ទ្រាយ។ វាគួរតែជា 0.0.0.0/0 និងមិនមែន 0.0.0.0/32 ទោះយ៉ាងណាក៏ដោយ ក្នុងករណីរបស់អ្នក អ្នកមិនបានវាយថាជាច្បាប់លេខ 50 ត្រូវបានបុកមុន និងអនុញ្ញាតឱ្យចរាចរទាំងអស់យ៉ាងណាក៏ដោយ - ដូច្នេះខណៈពេលដែលវាមិនដំណើរការ វាមិនពិតទេ។ បង្កបញ្ហារបស់អ្នក។
2. កម្មវិធីគ្រប់គ្រងបញ្ជរ/ការចូលប្រើល្អបំផុត? [បិទ]
អ្នកប្រហែលជាមិនចង់បិទពួកវាទាំងស្រុងពីទិដ្ឋភាពផ្សេងទៀតនៃកុំព្យូទ័រ ហើយកំណត់ពួកវាទៅកម្មវិធីរុករក។ វាស្តាប់ទៅដូចជាអ្នកត្រូវការកម្មវិធីដែលអាចស្តារការផ្លាស់ប្តូរណាមួយដែលបានធ្វើឡើងចំពោះប្រព័ន្ធយ៉ាងងាយស្រួល។ សម្រាប់គោលបំណងនេះ ខ្ញុំចង់ណែនាំ Faronics DeepFreeze យ៉ាងខ្លាំង។ DeepFreeze អាចតាមដានរាល់ការផ្លាស់ប្តូរដែលបានធ្វើឡើងចំពោះកុំព្យូទ័រ ហើយត្រឡប់ពួកវាទាំងអស់ដោយការចាប់ផ្ដើមឡើងវិញសាមញ្ញ។ វាក៏មានដំណោះស្រាយឥតគិតថ្លៃពី Microsoft ដែលហៅថា SteadyState ដែលដំណើរការលើ XP និង Vista
3. ការកំណត់ Access-Control-Allow-Origin៖ * នៅពេលដែលការកំណត់អត្តសញ្ញាណសម័យត្រូវបានបញ្ចូលទៅក្នុងបឋមកថា HTTP
បា ប! ដើម្បីអាចទទួលបានអ្វីដែលមានតម្លៃចេញពីវា អ្នកវាយប្រហារត្រូវទទួលបានព័ត៌មានសម្ងាត់។ ប្រសិនបើវត្ថុទាំងនេះត្រូវបានរក្សាទុកក្នុងកន្លែងផ្ទុកក្នុងស្រុក ក្នុងអថេរ JS ឬអ្វីក៏ដោយដែលពួកវានឹងត្រូវបានការពារដោយគោលការណ៍ដើមដូចគ្នាដែលកម្មវិធីរុករកតាមអ៊ីនធឺណិតអនុវត្ត។ ដូច្នេះវាមិនមានបញ្ហាអ្វីធំដុំជាមួយគោលការណ៍ CORS របស់អ្នកទេ។ ប៉ុន្តែមានបញ្ហាពាក់ព័ន្ធជាច្រើនដែលអ្នកត្រូវគិតអំពី៖ តើគ្រោងការណ៍ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវល្អទេ? ខ្ញុំសន្មត់ថាភាគីទីបីត្រូវប្រើ API ចាប់តាំងពីអ្នកចង់បើកសំណើប្រភពឆ្លង ដូច្នេះតើភាគីទីបីទទួលបានអាថ៌កំបាំងដោយរបៀបណា? លល
Shenzhen TigerWong Technology Co., Ltd
ទូរស័ព្ទ ៖86 13717037584
អ៊ីមែល៖ Info@sztigerwong.comGenericName
បន្ថែម៖ ជាន់ទី 1 អគារ A2 សួនឧស្សាហកម្មឌីជីថល Silicon Valley Power លេខ។ 22 ផ្លូវ Dafu, ផ្លូវ Guanlan, ស្រុក Longhua,
ទីក្រុង Shenzhen ខេត្ត GuangDong ប្រទេសចិន