在我之前的博客文章中，我描述了使用DevOps实现敏捷应用程序交付的梦想，以及它是如何在需要对防火墙或网络连接进行最小的更改时就痛苦地破灭的。我还描述了如何使用AlgoSec无缝地解决这一差距，并真正享受DevOps的好处。好主意。现在让我们看看如何实际实现它。首先，有几个先决条件：您需要部署AlgoSec解决方案，管理所有重要的防火墙、路由器、云安全组和私有云sdn，以确保涵盖所有进行网络安全过滤的内容。注意，nginx防御cc攻击教程，这里描述的解决方案利用了AlgoSec BusinessFlow和AlgoSec FireFlow。Ansible–Ansible是一种比较流行的配置管理、IT编排和应用程序部署工具。这里描述的解决方案假设您正在使用它来实现DevOps管道和流。如果使用其他工具，仍然可以遵循相同的概念（另外，请在结尾处查看我对其他实现选项的评论）就这样！很好。现在，让我们下载并在您的Ansible环境中安装Ansible的AlgoSec角色。你可以在Ansible星系库找到它。注意，首先需要安装一些必需的软件包。然后，宝塔能防御cc攻击，您需要将AlgoSec服务器的详细信息配置到角色中作为配置参数（IP、凭据等）。注意，防御ddos攻击路由器，这个包包括一个示例剧本，以及一个样例库存YAML文件。清单文件描述了应用程序的应用程序连接要求-"连接即代码"。您需要在那里列出应用程序工作所需的所有流，包括内部（应用程序服务器之间）和与外部世界的连接。但是，您不需要了解防火墙、路由等方面的任何信息，甚至不需要知道应用程序或外部服务器的位置（在数据中心、云中、网络外部等）。您可以使用IP地址或子网，或预定义的对象名称（已在AlgoSec BusinessFlow中定义），以获得更优雅且经得起未来考验的解决方案。这个清单现在应该被视为应用程序的一些代码（或配置），当应用程序的连接性需求发生变化时，开发人员应该对其进行更新。每个应用程序一个清单文件。顺便说一句，cdn高防哪家好，AlgoSec Ansible角色代码是以开源的形式发布的，所以您可以根据自己的需要自由定制或扩展它（或者按原样使用，也可以）。现在只需将AlgoSec角色合并到您的Ansible自动化流程中，以便在集成/交付应用程序时运行它。该角色将连接到AlgoSec BusinessFlow，检查连接要求中是否有任何更改，并快速验证防火墙上是否确实正确配置了所需的连接。如果一切都很好-很好（立即返回成功）。但是，如果防火墙和安全设备上还没有配置某些新的连接要求，则应用程序连接要求将在AlgoSec BusinessFlow中自动更新，它还将使用AlgoSec FireFlow（更改自动化部分）启动更改请求。然后，AlgoSec FireFlow将运行更改工作流，找到需要更改的相关设备，验证更改不会带来任何风险或合规性问题，设计实现更改的最佳方式，然后将其推到设备上–所有这些都是零接触！几分钟后，流量就打开了。但是，如果请求的更改不符合安全部门预先批准的合规性定义，则更改请求将停止，并根据需要升级到相关人员以进行批准。就这样。网络安全现在已经退化，不再是一个痛苦的瓶颈。请注意，现在BusinessFlow中自动更新了应用程序的所有连接要求，应用程序所有者可以立即查看其特定应用程序的网络连接状态，以及其他重要信息，ddos攻击防御有哪些有效方式，如风险、合规性和服务器漏洞–所有这些都在具体应用。还有其他的好处，比如一个很酷的应用程序连接图，以及一个可以导出为pdf文件的所有细节的漂亮摘要。对于网络安全人员来说，在AlgoSec BusinessFlow中拥有所有应用程序的连接细节，可以为他们在防火墙上接触到的所有内容提供即时的应用程序上下文。为什么这里有这个规定？哦，看起来它支持计费应用程序。我可以关闭防火墙进行维护吗？我可以隔离这台服务器，因为它看起来像是受到攻击了吗？当审核员想要澄清这些规则时，我需要和谁谈谈？BusinessFlow可以为网络安全团队提供所有这些问题（以及更多）的即时答案，这样他们就可以在不破坏（重要）东西的情况下完成工作。令人惊叹的。但是如果我不使用Ansible…？完全相同的概念和流程可以用于任何其他编排系统。此外，请继续关注我的下一篇博客文章，介绍如何轻松利用algosecapi和SDK实现上述功能，以及为其他流行系统提供的附加插件。