免备案高防cdn_360网站防护_秒解封-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 免备案高防cdn_360网站防护_秒解封

免备案高防cdn_360网站防护_秒解封

小墨安全管家 2021-07-22 03:27 高防服务器 89 ℃
DDoS防御

免备案高防cdn_360网站防护_秒解封

Citrix NetScaler最近增加了对Safenet外部硬件安全模块(HSM)的支持。Safenet HSM是一具独立的网络设备,存储用于SSL通信的私钥。Safenet HSM符合FIPS,可用于存储各种网络设备(包括NetScaler设备)的私钥。在很多事情下,DDoS防御,与NetScaler设备一起使用的Safenet HSM模块能够代替购买带有FIPS硬件模块的Citrix NetScaler。Safenet HSM是一具硬件设备,看起来与那个地点显示的图像相似。Safenet HSM可用于运行NetScaler 11.1版build 55.10或更高版本或NetScaler 12.0 build 53.6或更高版本的SDX设备上的任何NetScaler VPX、NetScaler MPX或NetScaler VPX实例。Safenet HSM不能与任何NetScaler FIPS设备一起使用。Safenet HSM经过以太网连接到网络基础设施。Safenet不需要放在单独的VLAN上,因为即使仍然能够经过SSH访咨询Safenet来执行一些有限的治理功能,任何允许访咨询密钥的操作都需要治理员使用连接到Safenet HSM设备的特殊USB设备或连接到具有特殊硬件设备和固定IP地址的远程治理工作站的专用USB设备。一具好的做法是将Safenet HSM连接到一具单独的安全VLAN上,虽然Safenet不需要单独的VLAN。安全网HSM由NetScaler和其他网络设备经过监听TCP端口1792的加密IP协议举行访咨询。NetScaler和HSM模块都需要可以在TCP 1792上互相连接。Safenet HSM模块能够配置多个分区,每个分区都为私钥分配了单独的资源和空间,以方便多租户环境,或者简单地为不同的应用程序或应用程序组单独分配密钥。特定Safenet HSM上可用分区的数量由硬件版本和许可证决定。NetScaler和Safenet HSM之间的通信经过NetScaler设备(客户端)和Safenet HSM(服务器)之间的证书交换来保证安全。交换证书后,Safenet HSM模块将NetScaler注册为客户端,并分配一具分区以供NetScaler使用。接着,NetScaler设备将Safenet HSM和分区注册为服务器。当按设计使用Safenet HSM时,钥匙不大概存在于Safenet HSM模块之外的任何地点。这对安全模型至关重要,大多数组织都需要一具安全异常请求,以便将密钥导入在其他地点创建的Safenet HSM中。用于创建密钥的命令直截了当在Safenet HSM上创建它们。假如Safenet HSMs断开连接或硬件故障,NetScaler SSL会话将失败。用一具或多个HSM模块来克服一具HSM中一具或两个以上活跃的HSM成员的高可用性。Safenet HSM模块的高可用性使用客户端软件来治理高可用性。每个单独的Safenet HSM模块都不懂它是高可用性组的一部分。客户机和客户机软件治理高可用性,并在HA组的成员之间保持密钥同步。在Safenet HA配置中,NetScaler设备必须使用位于NetScaler设备上的Safenet客户端软件交换密钥并分别注册到每个Safenet HSM设备。当NetScaler设备在高可用性对中配置时,防DDoS,主NetScaler设备和辅助NetScaler设备都必须分别向Safenet HA组中的每个Safenet HSM设备注册。要将NetScaler设备配置为使用Safenet HSM,DDoS防御,请首先验证以下设置:NetScaler版本为11.1内部版本55.10或更高版本,或NetScaler版本12.0内部版本53.6或更高版本。netscaler不是FIPS模型。为每个Safenet HSM设备上的netscaler创建一具单独的分区,并确保每个Safenet HSM设备上的分区密码相同。(假如netscaler配置为高可用性,这么主netscaler和secondary netscaler都将连接到Safenet HA组中每个Safenet HSM的同一分区。分区名称不必在每个Safenet HA成员上匹配,但密码必须相同。另外,NetScaler中的一具错误无法正确处理在分区密码中使用$作为起始或结束的特殊字符,所以我们建议在密码中间使用其他特殊字符。)验证每个Safenet HSM都配置了Allow Cloning和Allow Network Replication(请参阅下图)登录到第一具HSM并运行HSM showPolicies登录第二个HSM并运行HSM showPolicies假如设置未打开,请使用set hsm命令将设置更改为on。满脚前提条件后,使用以下命令:初始NetScaler步骤将NetScaler上的名目改为/var/safenet:cd/var/safenet运行安装程序_客户端.sh足本(请确保安装版本6.2.2,因为版本6.0不允许NetScaler实现中的HA功能):/install_客户端.sh-第622页将NetScaler上的名目改为/var/safenet/config:cd/var/safenet/config运行足本safenet_config:sh safenet_config验证文件/etc/Chrystoki.conf创建:ls-l/etc/Chrystoki.conf验证符号链接/usr/lib/lib cryptoki2_64.so是否已创建:ls-l/usr/lib/lib cryptoki2_64.so将NetScaler上的名目改为/var/safenet/safenet/lunaclient/bin:cd/var/safenet/safenet/lunaclient/bin运行vtl足本创建一具证书,DDoS防御,供NetScaler在与Safenet HSM通信时使用:./vtl createCert-n(NSIP)验证文件/etc/Chrystoki.conf包含对新证书的引用:more/etc/Chrystoki.conf验证新的证书文件是否已创建并放置在正确的名目中:ls–l var/safenet/safenet/lunaclient/cert/client/SCP为允许NetScaler与Safenet HSM到第一具Safenet HSM的通信而创建的客户端证书:SCP/var/Safenet/Safenet/lunaclient/cert/client/(NSIP).pem(AccountName)@(HSM1-IP):SCP为允许NetScaler与Safenet HSM到第二个Safenet HSM的通信而创建的客户端证书:SCP/var/Safenet/Safenet/lunaclient/cert/client/(NSIP).pem(AccountName)@(HSM2-IP):SCP来自第一具Safenet HSM的服务器证书,允许与NetScaler举行通信:SCP(AccountName)@(HSM1-IP):服务器.pem/var/safenet/safenet/lunaclient/cert/server/(HSM1-IP).pemSCP来自第一具Safenet HSM的服务器证书,允许与NetScaler举行通信:SCP(AccountName)@(HSM2-IP):服务器.pem/var/safenet/safenet/lunaclient/cert/server/(HSM2-IP).pem验证服务器证书文件是否存在于正确的名目:ls–l/var/safenet/safenet/lunaclient/cert/server/对NetScaler HA对中的辅助NetScaler重复本节中的步骤1-15。安全网HSM初始步骤SSH到第一具Safenet HSM:SSH-l(AccountName)(HSM1-IP)在Safenet HSM上注册NetScaler作为客户机:client Register–client(ClientName)-ip(NSIP)列出Safenet HSM上的分区,并验证为NetScalers:partition List分配的分区的名称和分区序列号将分区分配给在前面步骤中注册的客户机:client assignPartition-client(ClientName)-par(PartitionName)退出HSM模块:退出SSH到第二个Safenet HSM:SSH-l(AccountName)(HSM2-IP)在Safenet HSM上注册NetScaler作为客户机:client Register–client(ClientName)-ip(NSIP)列出Safenet HSM上的分区,并验证为NetScalers:partition List分配的分区的名称和分区序列号将分区分配给在前面步骤中注册的客户机:client assignPartition-client(ClientName)-par(PartitionName)退出HSM模块:退出对NetScaler HA对中的辅助NetScaler重复本节中的步骤1-10。其他NetScaler步骤将名目改为/var/safenet/safenet/lunaclient/bin:cd/var/safenet/safenet/lunaclient/bin运行vtl足本将第一具HSM注册为NetScaler上的服务器:./vtl addserver-n(HSM1-IP)-c/var/safenet/safenet/lunaclient/cert/server/(HSM-IP).pem运行vtl足本将第二个HSM注册为NetScaler上的服务器:./vtl addserver-n(HSM2-IP)-c/var/safenet/safenet/lunaclient/cert/server/(HSM-IP).pem运行vtl足本以验证服务器是否已正确注册:./vtl listServer运行vtl足本以验证NetScaler和Safenet HSM设备之间的网络信任链接是否正常工作:./vtl verify运行lunacm shell为Safenet HSM设备配置HA:/lunacm为第一具组分配一具序列号的组(为第一具组分配一具新的分区名:sham-sha-partition)创建一具新的分区名将第二个HSM设备和为NetScaler创建的分区添加到Safenet HA组:hagroup addMember-group(组友好名称)-serialNumber(分区列表中的序列号)-password(分区密码)验证HA组的配置:hagroup listGroups将NetScaler配置为只使用新的HA组,以幸免只向组的一具成员添加密钥时出错:hagroup HAOnly–enable将HA组配置为在Safenet HA组的所有成员之间同步密钥:hagroup synchronize-group(组友好名称)-password(分区密码)-enable退出lunacm外壳:退出退出返回NetScaler CLI:Exit保存NetScaler配置:Save ns config返回NetScaler BSD shell:shell验证新的HA配置和所有Safenet HSM注册都在Safenet配置文件:more/etc中/Chrystoki.conf复制/等/Chrystoki.co.公司


DDoS防御

当前位置:主页 > 高防服务器 > 免备案高防cdn_360网站防护_秒解封

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119