樓主從一個故事講起，讓我想起之前超級計算機被入侵的事情。

首先網絡安全一直不是一件簡單事情，而且大家對黑客入侵一直抱有神秘未知的認知。我們可以把復雜的事情進行拆解分析，首先入侵面我們可以分為OSI七層，自下而上分別是：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。

物理層：是一些基礎硬件設施實現的數據傳輸環境。大家采購網絡設備和服務器的時候已經自帶一般不會修改，漏洞也比較少

數據鏈路層: 大家熟知的mac地址就工作在這一層。因為一些標準化的協議導致大家在這一層需要做的事情也較少

網絡層: ip地址工作的區域，大家往往通過交換機，路由器，防火墻進行設置白名單，劃分vlan達到安全傳輸。因為ip地址傳輸並不會對源主機校驗，所以無法完全依賴ip白名單，建議使用加密技術vpn等方法來避免此問題。

傳輸層: 則是大家熟知的TCP，UDP，黑客往往通過掃描常見端口來攻擊一些常見服務，通過限制和關閉對外端口，減少受攻擊的面。

會話層、表示層和應用層:這三個層有時候大家會歸結到應用這一層， 主要基於大家使用不同的系統和應用程序展現不同形式。這三個層面不僅對大家最為開放，標準和規則多變，而且出現問題的概率也最大。只能盡量要求我們的代碼邏輯嚴謹，少出一些bug。

通過上面對OSI七層簡單描述大家會發現，主要安全措施我們還是在網絡層、傳輸層、會話層、表示層和應用層，黑客攻擊也主要發生在這5層。

---------------------------------------------------------------------------------------

現在談談公有雲和自建機房在安全方面的區別：

在網絡層和傳輸層：自建機房至少需要一個網絡工程師熟知交換機，路由器，防火墻配置使用和網絡進行合理規劃，網絡設備安全常識，即使這樣你還有可能碰到一些意向不到的狀況，例如：持續遭遇到大量ddos攻擊，這時候如果攻擊帶寬超過

機房的帶寬那麽無論如果你的站點已經無法被用戶訪問到了。而公有雲只需要你知道基本網絡知識，給你的主機設置安全組，配置端口安全掃描，一旦出現問題也能及時發現，即使遇到ddos攻擊公有雲的安全產品

也能幫你解決。

會話層、表示層和應用層: 這三層一直是漏洞高發區，因為一些中小公司很喜歡用一些開源項目或工具，而且代碼的質量也參差不齊，公司又沒有相應安全人員儲備導致這裏更容易被入侵。自建機房你只能招

聘相應安全人員進行代碼審核，這是很多公司不想做的。公有雲因為運營商的體量較大有相對成熟的安全產品，可以幫助大家使用較低的成本更好的完成這份工作。

終於到關鍵點了，即使上了雲，也不能保證你的絕對安全。好比一個小孩拿把寶劍卻不知如何揮舞。只有增強網絡安全意識，學習安全知識，掌握各種安全手段才能讓我們的網站更安全。

因為上面是我之前回帖的一些內容所以有點瑣碎

本文出自 “我的運維歷程” 博客，請務必保留此出處http://nginxs.blog.51cto.com/4676810/1928812

網絡安全分析和公有雲使用的安全性