Forefront TMG 2010
一、Forefront TMG 2010 介绍Forefront TMG 是一款全面的安全网关解决方案,可帮助员工抵御来自网络的威胁。通过集成防火墙、VPN、入侵防护、恶意软件检查和 URL 筛选功能,Forefront TMG 还可提供简单且统一的外围安全防护。
二、部署2.1、线上环境外网IP: a.x.x.x内网IP:b.x.x.x操作系统: windows 2008 r2 x64
2.2 安装 TMG注意点:
1、安装过程中会启动防火墙,建议修改远程登入端口。
2、为以防安装过程中登入不上服务器,建议先把服务器密码改的简单点,不行可以通过后台进行登入。后面记得改回来。
3、Windows Event Collector 和 Windows Firewall 服务要改成手动,不然后面服务器重启网卡会起不来,连不上服务器。
2.2.1 打补丁,重启服务器。(比较花时间)2.2.2 添加虚拟网卡ucloud 只有一个内网IP,要做TMG 需要另外在添加一卡虚拟网卡。
网络–属性–更多适配器设置 修改网卡名字为inner
控制面板–操作–设备管理 ...
Nginx-ssl
参考博文:【Nginx的SSL配置优化】https://www.linpx.com/p/ssl-configuration-optimization.html
一、SSL Labsssllabs:查看https网站的安全级别: https://www.ssllabs.com/ssltest/index.html
未加入ssl优化配置的安全级别F
配置了ssl优化参数的安全级别A+
二、创建dhparam nginx.pem秘钥
一般网站使用的SSL证书都是RSA证书,这种证书基本都是2048位的密钥,但是证书密钥交换密钥必须要比证书密钥更长才能安全。
而默认的创建dhparam.pem只有1024位,所以我们需要手动生成一个更强的密钥4096位。
1234# 执行时间很长,建议使用screen生成mkdir -p /usr/local/nginx/ssl-key/dh_sslcd /usr/local/nginx/ssl-key/dh_sslopenssl dhparam -out nginx.pem 4096
三、ssl配置及优化配置如下,只包含ssl部分的配置,未包含 ...
Nginx-rewrite
参考:http://www.cnblogs.com/kevingrace/p/6398488.html
一、nginx rewrite规则1.rewrite语法
nginx通过ngx_http_rewrite_module模块支持url重写、支持if条件判断,但不支持else。
该模块需要PCRE支持,因此应在编译nginx时指定PCRE源码目录, nginx安装方法。
12345678910rewrite regex replacement [flag]关键字 正则表达式 替换值 标志位例子:rewrite ^/(.*) http://www.etiantian.org/$1 permanent;解释:^/(.*) 表示匹配所有$1 取前面regex部分括号里的内容permanent 永久301重定向,即跳转到后面的http://www.etiantian.org/$1地址上
2.rewrite flags标记位
flag
description
last
本条规则匹配完成 ...
Nginx-tcp
Nginx TCP AND UDP LOAD BALANCER
前言Nginx从Nginx Plus(商业授权版) 1.7.7 开始支持 TCP和UDP的负载均衡;Nginx开源版本从1.9.0起开始支持TCP的负载均衡,从1.9.13版本开始支持UDP和UNIX-domain sockets。
Nginx开源版本默认没有开启TCP负载均衡,开启需要在编译构建的时候新增–with-stream 参数,而Nginx Plus则默认就已经开启不需要额外参数。
下面是几个简单的Nginx配置(Example Configuration)
TCP
server {
listen 127.0.0.1:12345;
proxy_pass 127.0.0.1:8080;
}
server {
listen 12345;
proxy_connect_timeout 1s;
proxy_timeout 1m;
proxy_pass example.com:12345;
} ...
Nginx-install
概述Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。
在高连接并发的情况下,Nginx是Apache服务器不错的替代品。
Building nginx from Sources
http://nginx.org/en/docs/configure.html
下载对应版本的源码包。
$ cd /usr/local/src
$ sudo wget http://nginx.org/download/nginx-1.12.0.tar.gz
$ sudo wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz
$ sudo wget http://zlib.net/zlib-1.2.11.tar.gz
同级目录解压。
$ sudo tar xf nginx-1.12.0.tar.gz
$ sudo tar xf pcre-8.40.tar.gz
$ su ...
Jenkins-install
Installing JenkinsPrefaceJenkins是一个用Java编写的开源的持续集成工具。在与Oracle发生争执后,项目从Hudson项目复刻。
Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(例如Apache Tomcat)。
它支持软件配置管理(SCM)工具(包括AccuRev SCM、CVS、Subversion、Git、Perforce、Clearcase和RTC),可以执行基于Apache Ant和Apache Maven的项目,以及任意的Shell脚本和Windows批处理命令。Jenkins的主要开发者是川口耕介。Jenkins是在MIT许可证下发布的自由软件。
System requirement尽量使用Java 8, 还建议使用512MB以上RAM的系统。
Begin InstallJenkins 提供了多种安装方式。
Installing Jenkins with Docker
假设你已经安装好docker,那么你可以直接执行:
$ sudo docker pull jenkins
$ sudo doc ...
Kafka-REST-Proxy
Kafka REST Proxy一、业务场景需求
某公司A,需要把游戏日志传给另外一家公司B。架构大致是,游戏服务器把日志传到kafka消息队列,kafka在到es进行数据分析。由于服务器是公司B自己提供,公司A就需要提供一个外网接口让对方把数据写到云ukafka。 由于ukafka只有内网IP,zookeeper中只能注册一个地址,通过nginx代理或者ssh端口转发都不能做到外网正常使用,除非节点本身有外网IP。这个时候就需要用到Kafka REST Proxy。
二、Kafka REST Proxy 介绍
Kafka REST代理为Kafka集群提供RESTful接口。它可以轻松生成和使用消息,查看集群状态,以及在不使用本机Kafka协议或客户端的情况下执行管理操作。用例示例包括从任何语言构建的任何前端应用程序向Kafka报告数据,将消息提取到尚不支持Kafka的流处理框架,以及脚本管理操作。
kafka rest proxy 是rest api接口,通过这个代理把数据转发到kafka的。主要有两部分组成 - Schema Registry提供元数据的存储和解析 ...
Kafka-install
概述Kafka是最初由Linkedin公司开发,是一个分布式、分区的、多副本的、多订阅者,基于zookeeper协调的分布式日志系统(也可以当做MQ系统),常见可以用于web/nginx日志、访问日志,消息服务等等,Linkedin于2010年贡献给了Apache基金会并成为顶级开源项目。
主要应用场景是:日志收集系统和消息系统。
Kafka主要设计目标如下:
以时间复杂度为O(1)的方式提供消息持久化能力,即使对TB级以上数据也能保证常数时间的访问性能。
高吞吐率。即使在非常廉价的商用机器上也能做到单机支持每秒100K条消息的传输。
支持Kafka Server间的消息分区,及分布式消费,同时保证每个partition内的消息顺序传输。
同时支持离线数据处理和实时数据处理。
Scale out:支持在线水平扩展
系统更新123sudo add-apt-repository ppa:openjdk-r/ppasudo apt-get update sudo apt-get install openjdk-8-jdk
安装 zookeeper1234567wget http ...
HTTPS-使用Certbot自动配置Let’s Encrypt证书
1. HTTPS基本介绍
现在各大厂商都在推行HTTPS,比如谷歌要求多个顶级域名要用HTTPS来加密,苹果要求开发者全部采用HTTPS等等。那什么是HTTPS呢?其实HTTPS只是HTTP的一个拓展,是在HTTP的基础上利用SSL/TLS来加密数据包的。工作流程如下:
An overview of the SSL or TLS handshake
图片来自IBM Knowledge Center: An overview of the SSL or TLS handshakehttps://www.ibm.com/support/knowledgecenter/en/SSFKSJ_7.1.0/com.ibm.mq.doc/sy10660_.htm
注意第(2)步Server给Client发送了一个Server certificates,这个里面包含有Server的一些信息,如域名、公司信息、序列号和签名信息组成等,这个证书可以个人生成,也可以由权威机构签发,当然个人的就不受大众信任,而权威机构签发的证书则会被信任。
具体的可以参考:细说 CA 和证书 ...
hexo-valine
hexo 评论页面报错
Code 403: 访问被api域名白名单拒绝,请检查你的安全域名设置.
关于Valine和LeanCloud
Valine是一款基于Leancloud的快速、简洁且高效的无后端评论系统。Valine诞生于2017年8月7日,理论上支持但不限于静态博客,目前已有Hexo、Jekyll、Typecho、Hugo等博客程序在使用Valine。她完全不需要账号,一个昵称就够了,为了方便以后联系也可以留下邮箱,甚至可以如路人般水一下而不留一点痕迹,给人一种清新脱俗、小家碧玉的感觉,这多少符合现在互联网顶贴水楼的习惯。同时她又支持Gravatar的头像和Markdown的语法,方便大家展现个性化的头像和多变的评论样式。另外Valine还支持文章阅读量统计,next主题也是集成此功能的,如需要请在主题配置文件中搜索“leancloud_visitors”字段启用。具体请网络搜索或查看官方说明 .https://valine.js.org/visitor.html
LeanCloud是行业领先的一站式后端云服务提供商,专注于为开发者提供一流的工具、平台和服务。Lea ...