网关安全吗/网关安全策略-入门信息安全知识点
网关安全吗/网关安全策略-入门信息安全知识点本文已经改版重发,请直接访问新链接:
一、写到前面
上周Donut安全网关推出一键接入的新功能,当你之前有利用过安全网关,再体验这个新功能,就会发现其严酷意义上是重塑了整个产品形态。
客岁我写过一篇关于安全网关的指南文章,此中有讲过安全网关的作用和特点,在这里重新提一下:
Donut安全网关提供了一个安全的接入链路,从调用端(小程序、公众号H5、APP、WEB)发起的哀求直接进入微信环境接入层,微信接入层通过中转域名将哀求转发至后端服务网络的「网关实例」中,在「网关实例」中通过路由配置将哀求转发到开发者本身的上游业务服务,完成整个哀求。
https://img-blog.csdnimg.cn/direct/abbd220b15164856b1a439a227704045.jpeg
上面这个图是客岁的时候的网关的架构图,初始形态下我们必须要本身部署一个网关实例,在部署的网关实例中包罗对上游业务和路由转发的配置。
在2023年年中时候,又推出了「极简直连模式」。在安全网关看来,针对业务端的网关实例可以由安全网关本身接管,不必要开发者介入安装。直连模式下开发者只必要配置源站域名或IP地址,微信会本身分配相对应的微信接入域名。
比如源站域名,分配接入域名。只必要访问接入域名就可以颠末安全网关直达源站业务端。
https://img-blog.csdnimg.cn/direct/e0949c47fbef4646aa891eff33878482.jpeg
但接入域名必要配置在前端应用(小程序、WEB、APP)中才可以正常接入。整个架构图中,从调用端到业务背景,每个链路都必要完成改造,安全网关才算正常接入完成。
纵然到极简直连模式下,在调用端方面仍然必要开发者举行改造。那么如何才可以让开发者不消对调用端举行改造呢?
这就引出了史诗级新功能:一键接入。
二、功能介绍
在微信小程序中,如果要向外发送哀求,必须要用wx.,这是微信小程序在网络哀求中的封装。
一旦封装就可以做很多事情,比如微信小程序提供的哀求缓存管理器,就是在封装下的此中一种功能体现。另外wx.还会拉取开发者的服务端配置,来判定颠末其的哀求域名符不符合要求…
那么安全网关的利用中,在wx.中直接转发必要安全接入的源站域名哀求,让它们直接走网关链路就可以了,别的的照旧正常走源站链路。
当这个能力实现支持之后,开发者接入安全网关的全部改造工作都已经消失,开发者只必要一系列配置就可以完成小程序端的安全链路改造。
接下来详细介绍一下利用细节。必要注意,之前利用原来形态的安全网关的开发者,必要新建一个空间才会有这个能力。
三、利用过程必要微信扫码登录 Donut 安全网关控制台,同意安全网关服务协议并同意即完成开通。
https://img-blog.csdnimg.cn/direct/e1646824ac4a472191e4c1dcd9681f36.jpeg
如果账号没有创建过任何空间,会自动引导开通空间;根据本身的环境选择个人或企业主体,并给空间起一个名字。一样平常建议一个空间对应一个业务集群。
https://img-blog.csdnimg.cn/direct/8b274d1f295945c298840dd9c146a96e.jpeg
在空间里创建安全网关,如果没有任何网关,则会直接进入一键接入页面
https://img-blog.csdnimg.cn/direct/8d7e0f57539643df9044faa5f1c3c59f.jpeg
在一键接入这里选择小程序,将会拉取此空间下授权的小程序,如果空间里没有任何小程序授权,则可以根据指引新增授权,需要小程序管理员(注意不是开发者和运营者之类的)扫码确认。
https://img-blog.csdnimg.cn/direct/f350f83f7b184ed592ebbfb4bf53f3f4.jpeg
选择小程序并点击「开始接入」按钮后,将会直接默认转发该小程序全部服务端配置域名,并且只在该小程序体验版见效,不会影响线上。
https://img-blog.csdnimg.cn/direct/e970c7fcaaa54975ab1b994033d21b29.jpeg
https://img-blog.csdnimg.cn/direct/662e617a34314320b6ae544527e9822e.jpeg
后续可以在控制台随时更改链路接入覆盖范围,包括小程序的范围和域名范围。
这里重要解释一下接入域名,接入域名其实对应的是一个个的网关域名(在前期安全网关产品功能中有直观体现),在背面的接入多端中会应用到。小程序一键接入可以直接忽略掉。你可以将其明确成一个链路方案,该方案下可以有多个小程序大概一个小程序不同版本的不同域名配置。(比如我希望开发者版A域名走安全链路,体验版B域名走安全链路)
https://img-blog.csdnimg.cn/direct/0aca608832f8497a8422154e430fa0f9.jpeg
点击接入域名中的修改按钮,可以针对该接入环境做修改,详情如下图
https://img-blog.csdnimg.cn/direct/0ec72e4a66ca43f0857be8ddd07da2d1.jpeg
接下来介绍一下每一个配置项作用:
添加小程序:你可以最多添加两个小程序(小程序可以雷同)你可以新增接入域名,选择不同的小程序。(必要注意的是一个小程序只能被一个网关的一个接入域名绑定)
https://img-blog.csdnimg.cn/direct/8bb4866f43a24ff4b05eaa116ab76cfa.jpeg
在监控视图中可以检察网关下的小程序端链路调用环境,可以通过观察哀求乐成率来验证安全链路的兼容稳定与否,结合本身的测试来判定是否应该继续接入。
https://img-blog.csdnimg.cn/direct/93dd7188b95549b682048bbcef27025b.jpeg
如果你发现一键接入后,有异常哀求且连续发生,则可以直接操作一键断联。
https://img-blog.csdnimg.cn/direct/0e1a64e89a94425bb78e124ae803b774.jpeg
四、常见环境1. 一键接入后,是否还必要小程序改造发版?
不必要,微信小程序底层将直接根据你的接入配置在网络层完成安全链路转换。
2. 如何判定是否颠末了网关链路?
网关链路的值为.call:ok, 另外在返回体根级会有,建议在小程序端记录并上报该,链路出现问题可以凭此反馈给安全网关团队精确定位。
服务端会收到安全链路的特定:
3. 在利用过程中出现问题大概不想再利用安全链路,必要怎么操作?
参照上面利用过程最后一条,直接断联就可以,不必要再次接入则可以直接删除接入域名。(必要注意删除之后,接入域名就没法复原了)
4. 为什么接入配置后,小程序对应的版本访问照旧原生链路,没有走安全链路?
链路见效一样平常在1分钟之内,如果用户正在访问该小程序,则必要等待下一次启动打开才可以。如果开发者测试验证,则建议退出微信背景,重新进入再试,如果仍然不可以,则删撤除小程序然后重新加载尝试(删撤除小程序重要是清除缓存)
5. 为什么接入配置后,微信开发者工具没有走安全链路?
开发者工具对应的是「开发版」,必要保证接入配置到「开发版」上,配置之后仍然不可以则等待一分钟再试。一样平常清除缓存+重启开发者工具都可以搞定。基础库版本必要在3.1.5及以上,开发者工具版本必要在1.06.及以上。
~
网络安全学习,我们一起交换
~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]