阿里云郵箱登陸首頁文章列表:

• 1、阿里云技術專家金九：Tengine HTTPS原理解析、實踐與調試
• 2、用一張又酷又炫的全向圖，深度盤點阿里云現有的93款產品
• 3、面對 DNS 劫持，只能坐以待斃嗎？
• 4、阿里云回應未及時上報 Log4j2 重大漏洞：早期未意識到嚴重性
• 5、如何申請一個免費的企業郵箱

阿里云技術專家金九：Tengine HTTPS原理解析、實踐與調試

本文邀請阿里云CDN HTTPS技術專家金九，分享Tengine的一些HTTPS實踐經驗。內容主要有四個方面：HTTPS趨勢、HTTPS基礎、HTTPS實踐、HTTPS調試。

一、HTTPS趨勢

這一章節主要介紹近幾年和未來HTTPS的趨勢，包括兩大瀏覽器chrome和firefox對HTTPS的態度，以及淘寶天貓和阿里云CDN的HTTPS實踐情況。

上圖是 chrome 統計的HTTPS網頁占比的趨勢，2015年的時候，大多數國家的HTTPS網頁加載次數只占了不到 50%，2016年美國這個占比到了將近60%，去年就已經超過 70%，目前已經超過 80%。最下面是日本，目前是60%左右，這里面沒有統計到中國的數據，我估計中國的占比會更少，空間還有很大，但未來HTTPS趨勢是明顯的。

同樣，Firefox 瀏覽器加載HTTPS網頁的統計跟 chrome 差不多，全球 HTTPS網頁加載占比在 70% 左右，上升趨勢也很明顯。

更值得關注的是，Google 在今年年初的時候在其安全博客上表明，在今年7月份左右發布的 chrome68 瀏覽器會將所有HTTP網站標記為不安全，現在是5月份底了，離這個時間也就一個多月的時間了。右邊的截圖可以看出本來是綠色的小鎖變成了不安全，這種網頁在輸入密碼時就很不安全了。

早期天貓淘寶只是在關鍵的登錄和交易的環節上了HTTPS，但隨著互聯網的發展，劫持、篡改等等問題也越來越嚴重，試想在天貓淘寶上看的商品圖片被惡意人替換了或者價格被篡改了會怎么樣？這樣用戶、商家和平臺都受到傷害，只有上了 HTTPS才能從根本上解決這些問題。所以，天貓和淘寶在2015年7月份的時候已經完成了全站HTTPS。

二、HTTPS基礎

本章節主要介紹HTTPS為什么安全，包括對稱加密、非對稱加密、簽名、證書&證書鏈、SSL是怎么握手的、以及私鑰密鑰在HTTPS中發揮什么樣的作用、keyless又是解決什么樣的問題等等。

HTTPS的定義

簡單來講，HTTPS就是安全的HTTP，我們知道HTTP是運行在TCP層之上的，HTTPS在HTTP層和TCP層之間加了一個SSL層，SSL向上提供加密和解密的服務，對HTTP比較透明，這樣也便于服務器和客戶端的實現以及升級。

HTTPS為什么安全？

HTTPS安全是由一套安全機制來保證的，主要包含這4個特性：機密性、完整性、真實性和不可否認性。

機密性是指傳輸的數據是采用Session Key（會話密鑰）加密的，在網絡上是看不到明文的。

完整性是指為了避免網絡中傳輸的數據被非法篡改，使用MAC算法來保證消息的完整性。

真實性是指通信的對方是可信的，利用了PKI（Public Key Infrastructure 即『公鑰基礎設施』）來保證公鑰的真實性。

不可否認性是這個消息就是你給我發的，無法偽裝和否認，是因為使用了簽名的技術來保證的。

對稱加密和非對稱加密

HTTPS有對稱加密和非對稱加密兩種算法，目的都是把明文加密成密文，區別是密鑰的個數不一樣，對稱加密是一把密鑰，這把密鑰可以加密明文，也可以解密加密后的密文，常見的對稱加密算法有AES、DES、RC4，目前最常用的是AES。

非對稱加密是兩把密鑰，分別是公鑰和私鑰，公鑰加密的密文只有相對應的私鑰才能解密，私鑰加密的內容也只有相對應的公鑰才能解密，其中公鑰是公開的，私鑰是自己保存，不能公開，常見的非對稱加密算法有RSA和ECC（橢圓曲線算法）。

SSL結合了這兩種加密算法的優點，通過非對稱加密來協商對稱加密的密鑰，握手成功之后便可使用對稱加密來做加密通信，對于RSA來說，客戶端是用RSA的公鑰把預主密鑰加密后傳給服務器，服務器再用私鑰來解密，雙方再通過相同的算法來生成會話密鑰，之后的應用層數據就可以通過會話密鑰來加密通信。

簽名

SSL中還有一個使用非對稱加密的地方就是簽名，簽名的目的是讓對方相信這個數據是我發送的，而不是其他人發送的。

密鑰安全強度與性能對比

加密之后的數據破解難度就體現在密鑰的長度上，密鑰越長，破解難度也越大，但是運算的時間也越長，性能也就越差。相同安全強度下，對稱密鑰長度在最短，ECC次之，RSA密鑰長度則最長。

目前比較常用的密鑰長度是：對稱密鑰128位、ECC 256位、RSA 2048位。

RSA和ECC在SSL中更多的是用來簽名，通過測試發現，ECC 的簽名性能比RSA好很多，但是RSA的驗簽性能比ECC更好，所以RSA更適合于驗證簽名頻繁而簽名頻度較低的場景，ECC更適合于簽名頻繁的場景，在SSL場景中，ECC算法性能更好。

公鑰基礎設施（PKI）

簡單的說，PKI就是瀏覽器和CA，CA是整個安全機制的重要保障，我們平時用的證書就是由CA機構頒發，其實就是用CA的私鑰給用戶的證書簽名，然后在證書的簽名字段中填充這個簽名值，瀏覽器在驗證這個證書的時候就是使用CA的公鑰進行驗簽。

證書

那CA在PKI中又是怎樣發揮作用的呢，首先，CA的作用就是頒發證書，頒發證書其實就是使用CA的私鑰對證書請求簽名文件進行簽名，其次，CA頒發的證書瀏覽器要信任，瀏覽器只需要用CA的公鑰進行驗簽成功就表示這個證書是合法可信的，這就需要瀏覽器內置CA的公鑰，也就是內置CA的證書。一般來說，操作系統都會內置權威CA的證書，有的瀏覽器會使用操作系統內置的CA證書列表，有的瀏覽器則自己維護的CA證書列表，比如Firefox。

CA分為根CA，二級CA，三級CA，三級CA證書由二級CA的私鑰簽名，二級CA證書由根CA的私鑰簽名，根CA是自簽名的，不會給用戶證書簽名，我們平時用的證書都是由二級CA或者三級CA簽名的，這樣就形成了一個證書鏈，瀏覽器在驗簽的時侯一層層往上驗證，直到用內置的根CA證書的公鑰來驗簽成功就可以表示用戶證書是合法的證書。

根證書已經內置在瀏覽器或者操作系統里了，在SSL握手時就不需要發根CA證書了，只需要提供中間二級三級CA證書和用戶證書就可以。

交叉證書

交叉證書的應用場景是這樣的：假如現在阿里云成為一個新的根CA機構，那阿里云簽發的證書想要瀏覽器信任的話，阿里云的根證書就需要內置在各大操作系統和瀏覽器中，這需要較長時間的部署，那在沒有完全部署完成之前，阿里云簽發的證書怎么才能讓瀏覽器信任呢，這就需要用到交叉證書了。

上圖中，根證書A是一個所有瀏覽器都內置了的根證書，B是一個新的根證書，用戶證書D是由根證書 B的二級CA B1來簽發的，但是根證書B并沒有在瀏覽器中內置，所以瀏覽器不會信任用戶證書D，這是因為瀏覽器在驗簽時只驗證到B1這一層然后找不到根證書B就無法驗證下去了。

如果二級CA B1證書是由根證書A來簽名，那這個問題就解了，所以新的根證書機構B會將二級CA證書（準確地講是二級CA的證書簽名請求文件）給老的根證書A來簽名，然后得到一個新的中間證書就是交叉證書。

瀏覽器在驗證的時侯用了新的信任鏈，這樣就可以解決用戶證書的信任問題。

當B的根證書全部部署完成后，再替換成自己的二級CA就可以了。

證書分類

證書分有三類：DV、OV、EV

DV證書只校驗域名的所有權，所以我們在申請DV證書的時候CA會提供幾種驗證域名所有權的方法：比如文件校驗、DNS校驗、郵件校驗，DV證書支持單域名、多域名和泛域名，但不支持多個泛域名，只支持一個泛域名，一般價格比較便宜，具體價格跟域名的數量有關，域名越多價格越高。

OV證書要驗證組織機構，在申請證書時CA會打電話確認這個域名是否真的屬于相應的公司或者機構，OV證書是單域名、多域名、泛域名和多個泛域名都支持，價格一般比DV證書要貴。

EV證書的校驗就更細了，比如組織機構的地址之類的，EV證書會在地址欄上顯示組織機構的名稱，EV證書只支持單域名或者多個域名，不支持泛域名，而且更貴，所以普通用戶一般不會用EV證書。

證書吊銷

證書是有生命周期的，如果證書的私鑰泄漏了那這個證書就得吊銷，一般有兩種吊銷方式：CRL和OCSP。

CRL是CA機構維護的一個已經被吊銷的證書序列號列表，瀏覽器需要定時更新這個列表，瀏覽器在驗證證書合法性的時候也會在證書吊銷列表中查詢是否已經被吊銷，如果被吊銷了那這個證書也是不可信的。可以看出，這個列表隨著被吊銷證書的增加而增加，列表會越來越大，瀏覽器還需要定時更新，實時性也比較差。

所以，后來就有了 OCSP 在線證書狀態協議，這個協議就是解決了 CRL 列表越來越大和實時性差的問題而生的。有了這個協議，瀏覽器就可以不用定期更新CRL了，在驗證證書的時候直接去CA服務器實時校驗一下證書有沒有被吊銷就可以，是解決了CRL的問題，但是每次都要去CA服務器上校驗也會很慢，在網絡環境較差的時候或者跨國訪問的時候，體驗就非常差了，OCSP雖然解決了CRL的問題但是性能卻很差。所以后來就有了OCSP stapling。

OCSP stapling主要解決瀏覽器OCSP查詢性能差的問題，本來由瀏覽器去CA的OCSP服務器查詢證書狀態的，現在改由域名的服務器去查詢，將OCSP的結果告訴瀏覽器即可，一般服務器的網絡性能要好于用戶電腦的網絡，所以OCSP stapling的性能是最好的。但是并不是所有的服務器都支持OCSP stapling，所以目前瀏覽器還是比較依賴CRL，證書吊銷的實時性要求也不是特別高，所以定期更新問題也不大。

HTTPS工作模式

對于客戶端和服務器來講，應用層協議還是HTTP，只是加了一個SSL層來做加密解密的邏輯，對應用層來說是透明的，在網絡上傳輸的都是加密的請求和加密的響應，從而達到安全傳輸的目的。

這是SSL層在網絡模型的位置，SSL屬于應用層協議。接管應用層的數據加解密，并通過網絡層發送給對方。

更細地分，SSL協議分握手協議和記錄協議，握手協議用來協商會話參數（比如會話密鑰、應用層協議等等），記錄協議主要用來傳輸應用層數據和握手協議消息數據，以及做加解密處理。我們應用層的的消息數據在SSL記錄協議會給分成很多段，然后再對這個片段進行加密，最后在加上記錄頭后就發送出去。

TLS握手協議

SSL/TLS 握手協議又細分為四個子協議，分別是握手協議、密碼規格變更協議、警告協議和應用數據協議。

完整的握手流程

首先是TCP握手，TCP三次完成之后才進入SSL握手，SSL握手總是以ClientHello消息開始，就跟TCP握手總是以SYN包開始一樣；

ClientHello主要包含客戶端支持的協議、密鑰套件、session id、客戶端隨機數、sni、應用層協議列表（http/1.1、h2）、簽名算法等等；

服務器收到ClientHello之后會從中選取本次通信的協議版本、密鑰套件、應用層協議、簽名算法，以及服務器隨機數，然后通過ServerHello消息響應，如果沒有session復用，那將服務器的證書通過Certificate消息響應，如果是選用了ECC算法來做密鑰交換的話，那還會將橢圓曲線參數以及簽名值通過ServerKeyExchange消息發送給對方，最后通過ServerHelloDone消息來結束本次協商過程；

客戶端收到這些消息之后，會生成預主密鑰、主密鑰和會話密鑰，然后將橢圓曲線參數通過ClientKeyExchange發送給服務器，服務器拿到客戶端的橢圓曲線參數也會生成預主密鑰，如果是RSA的話ClientKeyExchange用來發送公鑰加密的預主密鑰，服務器用私鑰來解密一下就可以得到預主密鑰，再由預主密鑰生成主密鑰和會話密鑰。最后雙方都以ChangeCipherSpce和Finished消息來告知對方，自己已經準備好了可以進行加密通信了，然后握手完成。

可以看出，完整的SSL握手需要2個RTT，而且每次握手都用到了非對稱加密算法簽名或者解密的操作，比較耗CPU，所以后來就有了session復用的優化手段，后面會做介紹。

SSL的握手消息雖然比較多，但很多消息都是放在一個TCP包中發送的，從抓包可以看出完整的SSL握手需要2個RTT。

剛才通過完整的SSL握手可以看出幾個缺點：

1、2個RTT，首包時間較長

2、每次都要做非對稱加密，比較耗CPU，影響性能

3、每次都要傳證書，證書一般都比較大，浪費帶寬

SSL握手的目的是協商會話密鑰以及參數，如果能把這些會話參數緩存那就可以沒有必要每次都傳證書和做非對稱加密計算，這樣就可以提高握手性能，而且可以將RTT減到1個，提高用戶體驗。

所以就有了session id的復用方式，每次完整握手之后都將協商好的會話參數緩存在服務器中，客戶端下次握手時會將上次握手的session id帶上，服務器通過session id查詢是否有會話緩存，有的話就直接復用，沒有的話就重新走完整握手流程。但是session id這種方式也有缺點，比較難支持分布式緩存以及耗費服務器的內存。

而session ticket 方案，其原理可以理解為跟 http cookie 一樣，服務器將協商好的會話參數加密成 session ticket，然后發送給客戶端，客戶端下次握手時會將這個session ticket帶上，服務器解密成功就復用上次的會話參數，否則就重新走完整握手流程。可以看出session ticket這種方式不需要服務器緩存什么，支持分布式環境，有很大的優勢。這種方式有一個缺點是并不是所有客戶端都支持，支持率比較低，但隨著客戶端版本的更新迭代，以后各種客戶端會都支持。因為session id客戶端支持率比較高，所以目前這兩種方式都在使用。

這是 session ticket 的復用，跟 session id 的區別是 client hello 會帶上 Session ticket ，將近200個字節的加密數據，服務器會用session ticket 密鑰來解密，解密成功則直接復用，也簡化了握手流程，提升效率和性能。

這是我們上了分布式 Session id 復用的效果，session id復用的比例在沒有開啟分布式緩存時只占了3%左右，復用率很低，上了分布式session緩存之后，這個比例提升到20%多。握手時間也從75ms左右降低到65ms左右，性能提升效果還是很明顯的。

SSL/TLS握手時的私鑰用途（RSA、ECDHE）

我們知道私鑰是整個SSL中最重要的東西，那私鑰在SSL握手里面又是怎么使用的呢？兩種使用方式分別是：使用RSA來做密鑰交換和使用ECDHE來做密鑰交換。對于RSA來說，客戶端生成預主密鑰，然后用公鑰加密再發給服務器，服務器用私鑰來解密得到預主密鑰，然后由預主密鑰生成主密鑰，再由主密鑰生會話密鑰，最后用會話密鑰來通信。

對于ECDHE來說，客戶端和服務器雙方是交換橢圓曲線參數，私鑰只是用來簽名，這是為了保證這個消息是持有私鑰的人給我發的，而不是冒充的。雙方交換完參數之后生成預主密鑰，再生成主密鑰和會話密鑰。這就跟剛才RSA后面的流程一樣了。

可以看出RSA和橢圓曲線密鑰交換算法的私鑰用途是不一樣的，RSA密鑰交換時是用來做加解密的，橢圓曲線密鑰交換時是用來做簽名的。

SSL/TLS中的密鑰

預主密鑰、主密鑰和會話密鑰，這幾個密鑰都是有聯系的。

對于RSA來說，預主密鑰是客戶端生成，加密之后發給服務器，服務器用私鑰來解密。對于ECDHE來說，預主密鑰是雙方通過橢圓曲線算法來生成。

主密鑰是由預主密鑰、客戶端隨機數和服務器隨機數通過PRF函數來生成；會話密鑰是由主密鑰、客戶端隨機數和服務器隨機數通過PRF函數來生成，會話密鑰里面包含對稱加密密鑰、消息認證和CBC模式的初始化向量，但對于非CBC模式的加密算法來說，就沒有用到這個初始化向量。

session 緩存和session ticket里面保存的是主密鑰，而不是會話密鑰，這是為了保證每次會話都是獨立的，這樣才安全，即使一個主密鑰泄漏了也不影響其他會話。

Keyless

剛才提到RSA和ECDHE的私鑰用途，對于服務器來說，密鑰交換算法是RSA時，私鑰是用來做解密的，ECDHE時，私鑰是用來簽名的。

Keyless就是將私鑰參與運算的部分分離遠程服務器，這樣可以解決兩個問題：

1，公私鑰分離，用戶不需要將私鑰給第三方，減少私鑰泄露的風險。

2，將非對稱加密運算這種cpu密集型運算剝離到keyserver，可以在keyserver中安裝ssl加速卡做硬件加速，提高性能。

HTTP/2

HTTP/2主要有這幾個特性：

一、二進制協議，可以做更多的優化；

二、多路復用，一定程度上解決了隊頭阻塞的問題，提高并發和總的加載時間

三、頭部壓縮，很多請求頭或者響應頭都沒有必要重復傳輸浪費帶寬，比如user-agent、cookie還有其他沒有必要每次都傳的頭部在http2中都做了優化

四、安全，雖然RFC規定HTTP/2可以運行在明文之上，但目前所有瀏覽器都只支持https之上的http/2，所以是安全的。

開啟HTTP/2會有這幾個收益：

一、加載時間的提升，我們做了這么一個測試，一張大圖片分割成幾百個小圖片，然后用http/1.1和http/2打開，http/1.1加載完所有小圖片用了五六秒，但http/2加載完所有小圖片只需要不到1s的時間，有5倍左右的提升，效果還是很明顯的，具體提升百分之多少這得具體看具體的業務類型。

二、頭部壓縮有95%左右的提升，http/1.1的平均響應頭大小有500個字節左右，而http/2的平均響應頭大小只有20多個字節，提升非常大，所以http/2非常適合小圖片小文件的業務類型，因為小文件的http頭部比重較大，而http/2對頭部的壓縮做了非常好的優化。

三、服務器QPS的性能有60%多的提升，這是因為http/2的連接復用和多路復用機制，可以處理更多的并發請求。

三、HTTPS實踐

本章節會重點給大家講講 Tengine 如何配置 https、HTTP/2、TLSv1.3，以及如何實現動態證書。

Tengine如何開啟HTTPS

http { ssl_session_tickets on; ssl_session_ticket_key ticket.key; server { listen 443 ssl; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH CHACHA20:EECDH CHACHA20-draft:EECDH ECDSA AES128:EECDH aRSA AES128:RSA AES128:EECDH ECDSA AES256:EECDH aRSA AES256:RSA AES256:EECDH ECDSA 3DES:EECDH aRSA 3DES:RSA 3DES:!MD5; ssl_prefer_server_ciphers on; ssl_certificate www.alicdn.com.crt; ssl_certificate_key www.alicdn.com.key; ssl_session_cache shared:SSL:256M; ssl_session_timeout 15m; #…… }}

在Tengine中開啟http2，只需要在listen的后面加上http2參數就可以了。

但是有一個場景需要注意，因為有些域名并不想開啟http2，比如上面這個配置的b.com并不想開http2，但是因為a.com開啟了http2，所以b.com也被自動開啟了，這是因為http2這個參數作用在ip和端口上，在ssl握手時用了a.com的配置參數，所以tengine針對這種情況做了一個域名級別的開關來做控制。

TLSv1.3——更快、更安全

1、1-RTT & 0-RTT

2、只支持完全前向安全性的密鑰交換算法

3、ServerHello 之后的所有消息都是加密的

4、淘汰 Session ID 和 Session Ticket，用 PSK 代替

5、Chrome 63 , Firefox 58

Tengine也支持了TLSv1.3，開啟方式：

server { ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH CHACHA20:EECDH CHACHA20-draft:EECDH ECDSA AES128:EECDH aRSA AES128:RSA AES128:EECDH ECDSA AES256:EECDH aRSA AES256:RSA AES256:EECDH ECDSA 3DES:EECDH aRSA 3DES:RSA 3DES:!MD5; #……}

Tengine 實現與配置動態證書

動態證書主要解決的問題是接入域名太多，server塊過多導致tengine reload慢的問題，lua-nginx模塊提供了一個證書的lua階段，可以在這個階段來做證書的熱加載，不需要reload tengine，這樣可以提高效率和性能。

配置也比較簡單，在ssl_cert.lua里面做證書的管理，在ssl握手時拿到sni，去拿這個域名的證書和私鑰，再調用lua ffi接口就可以完成證書和私鑰的切換。

ssl_cert.lua:

調用 lua ffi 接口設置證書和私鑰

四、HTTPS調試

我們知道HTTP是明文傳輸，調試就很簡單，抓包就可以看得清清楚楚，但HTTPS是加密的，抓包看到的是密文，這一節我告訴大家怎么去解密HTTPS抓包文件。

抓包解密

方法一：

配置Wireshark：

Wireshark ? preferences… ? Protocols ? SSL ? (Pre)-Master-Secret log filename => /tmp/sslkey.txt

（一）：

export SSLKEYLOGFILE=/tmp/sslkey.txt

（二）：

openssl s_client -connect 127.0.0.1:443 -servername www.alicdn.com -keylogfile /tmp/sslkey.txt

（三）：

echo “CLIENT_RANDOM 7EC0498BCF09E8300A1E9F8BA6C81E2A4383D7CDCFB10907B4074520FA8DF680 FA2457782F6FAECE47CF8E01BF9E0A441CEA8DCC91664F42F45F1EF5AB18ED902E35825713FF2D4D9651CE51ED885BB4”>> /tmp/sslkey.txt

方法二：

強制使用RSA密鑰交換算法，Wireshark配置私鑰。

抓包解密-wireshark設置

常用命令及參數

curl

寫在最后

證書的購買和申請是非常復雜耗時的，為了縮短開通周期，為開發者提供最大化便利，簡化HTTPS加速設置環節，目前阿里云CDN已經支持控制臺可實現一鍵開通HTTPS，后臺將完成代理免費證書購買、證書節點部署以及證書到期之前自動續簽，幫助開發者更便捷的完成全站HTTPS訪問加速。

用一張又酷又炫的全向圖，深度盤點阿里云現有的93款產品

DT時代，一切都將走向數據化，可視化。在阿里云所闡述的“技術拓展商業的邊界,商業驅動技術的變革”理念中，密集發布的新技術與產品讓業內更加震撼，讓用戶更為驚喜。阿里云逐步實現了“將計算能力變成像水電一樣的基礎設施”的目標，走向“為了無法計算的價值”。

為了幫助更多朋友一目了然地知道阿里云現在提供的所有產品和服務，并可以依照IT系統發展脈絡理清產品和服務之間的內在聯系，進而充分利用新技術實現業務夢想，云棲社區特別繪制了一張“2016阿里云93款產品全向圖”。

2016阿里云93款產品全向圖（6月制）（關注云棲社區微信號：yunqiinsight，可下載大圖）

當然，以阿里云現在飛速的發展，新產品與服務的發布速度還會更加驚人。為此，云棲社區將會定期更新本圖。想要第一時間知曉變化的朋友，歡迎訂閱云棲社區周刊。

全向圖之外，云棲社區還策劃了一系列技術干貨和實戰視頻培訓。最近的一次是6月16日，阿里云推薦引擎技術負責人鄭重（盧梭）在云棲社區直播分享《技術實戰：21天搭建推薦系統》；接下來則是6月23日，Postgres中國用戶會2016年主席、阿里云ApsaraDB數據庫產品經理蕭少聰的《NoSQL、RDS、Big Data異構融合實戰》。如果有什么建議，歡迎郵件云棲社區（yqeditor@list.alibaba-inc.com）。

2016阿里云93款產品全向圖（6月制）的產品介紹如下：

彈性計算

1.云服務器ECS：是一種簡單高效、處理能力可彈性伸縮的計算服務,幫助您快速構建更穩定、安全的應用,提升運維效率,降低 IT 成本,使 您更專注于核心業務創新。

2.塊存儲：是阿里云為云服務器ECS提供的低時延、持久性、高可靠的數據塊級隨機存儲。

3.專有網絡VPC：幫助您基于阿里云構建出一個隔離的網絡環境。

4.負載均衡：是對多臺云服務器進行流量分發的負載均衡服務，可以通過流量分發擴展應用系統對外的服務能力，通過消除單點故障提升應用系統的可用性。

5.彈性伸縮：根據用戶的業務需求和策略，經濟地自動調整其彈性計算資源的管理服務，能夠在業務增長時自動增加ECS實例，并在業務下降時自動減少ECS實例。

6.E-MapReduce（公測中）：構建于阿里云ECS彈性虛擬機之上，利用開源大數據生態系統，包括 Hadoop、Spark、HBase，為用戶提供集群、作業、數據等管理的一站式大數據處理分析服務。

7.資源編排（公測中）：是一種簡單易用的云計算資源管理和自動化運維服務。用戶通過模板描述多個云計算資源的依賴關系、配置等，并自動完成所有資源的創建和配置，以達到自動化部署、運維等目的。

8.容器服務：是一種高性能可伸縮的容器管理服務,支持在一組阿里云云服務器上通過Docker容器來運行或編排應用。

9.高性能計算HPC：提供一種性能卓越、穩定、安全、便捷的計算服務，幫助您快速構建處理能力出色的應用，解放計算給服務帶來的壓力，使您的產品在計算效率上具有非凡競爭力。

數據庫

1.云數據庫RDS：是一種穩定可靠、可彈性伸縮的在線數據庫服務。

2.云數據庫MongoDB版：基于飛天分布式系統和高性能存儲，提供三節點副本集的高可用架構,容災切換,故障遷移完全透明化。并提供專業的數據庫 在線擴容、備份回滾、性能優化等解決方案。

3.云數據庫Redis版：是兼容開源Redis協議的 Key-Value 類型在線存儲服務。

4.云數據庫Memcache：是在線緩存服務,為熱點數據的訪問提供高速響應

5.PB級云數據庫PetaData（邀測中）：是支持PB級數據存儲的分布式關系型數據庫。

6.云數據庫OceanBase（邀測中）：是一款阿里巴巴自主研發的高性能、分布式的關系型數據庫,支持完整的ACID 特性。

7.分析型數據庫：是阿里巴巴自主研發的海量數據實時高并發在線分析（Realtime OLAP）云計算服務，使得您可以在毫秒級針對千億級數據進行即時的多維分析透視和業務探索。

8.數據傳輸：該服務支持以數據庫為核心的結構化存儲產品之間的數據傳輸,它是一種集數據遷移、數據訂閱及實時同步于一體的數據傳輸服務。

9.大數據管理（公測中）：支持MySQL、SQL Server、PostgreSQL、Redis 等關系型數據庫和 NoSQL 的數據管理。

存儲與CDN

1.對象存儲OSS：是阿里云提供的海量、安全和高可靠的云存儲服務。

2.塊存儲：阿里云為云服務器ECS提供的低時延、持久性、高可靠的數據塊級隨機存儲。

3.文件存儲（公測中）：是面向阿里云ECS云服務器的文件存儲服務,提供標準的文件訪問協議,用戶無需對現有應用做任何修改,即可使用具備無限容量及性能擴展、單一命名空間、多共享、高可靠和高可用等 特性的分布式文件系統。

4.表格存儲：為構建分布式NoSQL數據存儲服務,提供海量結構化數據的存儲和實時訪問。

5.歸檔存儲：作為阿里云數據存儲產品體系的重要組成部分，致力于提供低成本、高可靠的數據歸檔服務，適合于海量數據的長期歸檔、備份。

6.消息服務：是支持大規模,高可靠、高并發訪問的消息產品,能夠幫助應用開發者在應用組件之間自由地傳遞數據和構建松耦合、分布式、高可用系統。

7.CDN：即內容分發網絡,它支持將源內容分發至阿里云部署在全球的500多個邊緣節點;可縮短用戶查看對象的延遲時間,提高用戶訪問網站的響應速度與網站的可用性,解決用戶網絡帶寬不足、網站訪問量大、網點分布不均等問題。

網絡：

1.負載均衡：是對多臺云服務器進行流量分發的服務。

2.專有網絡VPC：幫助您在阿里云平臺上快速搭建完全隔離的、安全的虛擬專有網絡。

3.高速通道：是一款便捷高效的網絡服務,用于在云上的不同網絡環境間實現高速、穩定、安全的私網通信,包括跨地域/跨用戶的VPC內網互通、專線接入等場景,有效的幫助您提高網絡拓撲的靈活性和跨網絡通信的質量和安全性。

4.CDN：將源站內容分發至全國所有的節點，縮短用戶查看對象的延遲，提高用戶訪問網站的響應速度與網站的可用性，解決網絡帶寬小、用戶訪問量大、網點分布不均等問題

大規模計算:

1.大數據計算服務：是一種快速、完全托管的TB/PB級數據倉庫解決方案。

2.批量計算（公測中）：是一種適用于大規模并行批處理作業的分布式云服務。

3.數據集成（公測中）：是阿里集團對外提供的穩定高效、彈性伸縮的數據同步平臺，為阿里云各個云產品(包括MaxCompute、Analytic DB、OSS、OTS、RDS等)提供離線(批量)數據進出通道。

4.E-MapReduce（公測中）：是構建于阿里云 ECS 彈性虛擬機之上，利用開源大數據生態系統，包括 Hadoop、Spark、HBase，為用戶提供集群、作業、數據等管理的一站式大數據處理分析服務。

云盾：

1.安騎士：企業級安全運維管理平臺,通過云 端數據聯動,提供服務器入侵防護和安全管理服務。

2.態勢感知：態勢感知是一個大數據安全分析平臺。

3.Web應用防火墻：大數據安全能力配合阿里十余年Web攻防經驗,保障網站安全、可用。

4.DDoS高防IP：DDoS高防IP是針對互聯網服務器(包括非阿里云主機)在遭受大流量的 DDoS攻擊后導致服務不可用的情況下,推出的付費增值服務,用戶可以通過配置高防IP,將攻擊流量 引流到高防 IP,確保原站的穩定可靠。

5.基礎防護：免費為阿里云用戶提供最高5G的默認DDoS防護能力后，在此基礎上，又推出了安全信譽防護聯盟計劃，將基于安全信譽分進一步提升DDoS防護能力，用戶最高可獲得100G以上的免費DDoS防護資源。

6.先知計劃：私密的安全眾測平臺,按效果付費。

7.服務器安全托管：是由阿里安全專家團隊為您提供個性化云服務器安全托管服務，包含專家人工安全體檢、清除木馬、系統加固、人工安全技術支持、托管服務報告等服務。

8.反欺詐：專業對抗垃圾注冊、惡意登陸、活動作弊、論壇灌水,共享阿里大數據風控服務能力。

9.綠網：基于阿里巴巴多年的技術沉淀和海量的數據支撐,提供文本、圖片、視頻等多媒體 內容安全檢測的接口服務。

10.內容檢測API：基于阿里巴巴多年的技術沉淀和海量的數據支撐，提供文本、圖片、視頻等多媒體內容安全檢測的接口服務。

11.加密服務：加密服務為用戶提供安全可靠的密鑰管理及數據加解密服務。

12.證書服務：證書服務為用戶提供安全、方便、快捷的全站 HTTPS 解決方案。

13.數據安全險：是眾安保險針對阿里云用戶推出的信息安全綜合保險。

14.云盾SOS服務：是依靠阿里巴巴多年的安全攻防實戰技術能力和管理經驗，參照國家信息安全事件響應處理相關標準，幫助云上用戶業務在發生安全事件后，按照預防、情報信息收集、遏制、根除、恢復流程，提供專業的7*24遠程緊急響應處理服務，幫助云上用戶快速響應和處理信息安全事件并從中恢復業務，同時事后幫助您規劃和設計最佳的云上安全管理方案，從根本上遏制安全事件的發生，降低業務影響。

管理與監控：

1.云監控：是一項針對阿里云資源和互聯網應用進行監控的服務。

2.訪問控制：是一個穩定可靠的集中式用戶身份與權限管理服務。

3.資源編排（公測中）：是一款幫助阿里云用戶簡化云計算資源配置和維護的開放服務。

4.操作審計（公測中）：會記錄您的云賬戶資源操作,提供操作記錄查詢,并可以將記錄文 件保存到您指定的 OSS 存儲空間。

5.密鑰管理服務（公測中）：是一款安全易用的管理類服務。

應用服務：

1.日志服務（公測中）：是針對日志類數據一站式服務，在阿里巴巴集團經歷大量大數據場景錘煉而成。

2.開放搜索：是解決用戶結構化數據搜索需求的托管服務，支持數據結構、搜索排序、數據處理自由定制。

3.媒體轉碼：是為多媒體數據提供的轉碼計算服務。

4.性能測試：是全球領先的SaaS性能測試平臺，具有強大的分布式壓測能力，可模擬海量用戶真實的業務場景，讓應用性能問題無所遁形。

5.郵件推送：是一款簡單高效的電子郵件發送服務，它構建在可靠穩定的阿里云基礎之上，幫助您快速、精準地實現事務郵件、通知郵件和批量郵件的發送。

6.API網關（公測中）：提供高性能、高可用的API托管服務，幫助用戶對外開放其部署在ECS、容器服務等阿里云產品上的應用，提供完整的 API 發布、管理、維護生命周期管理。

7.物聯網套件（公測中）：是阿里云專門為物聯網領域的開發人員推出的，其目的是幫助開發者搭建安全性能強大的數據通道，方便終端（如傳感器、執行器、嵌入式設備或智能家電等等）和云端的消息通信。

互聯網中間件：

1.企業級分布式應用服務EDAS：是企業級互聯網架構的核心服務。

2.消息隊列：是企業級互聯網架構的核心服務,基于高可用分布式集群技術,搭建了包括發布訂閱、接入、管理、監控報警等一套完整的高性能消息云服務。

3.分布式關系型數據庫服務DRDS：是具備大規模數據實時存儲、更新、檢索、面向OLTP同時具備輕量OLAP能力的分布式關系型數據庫產品。

移動服務：

1.移動數據分析（公測中）：是阿里云推出的一款移動App數據統計分析產品，為開發者提供一站式數據化運營服務。

2.移動推送（公測中）：是基于大數據的移動云服務，幫助App快速集成移動推送的功能，在實現高效、精確、實時的移動推送的同時，極大地降低開發成本。

3.HTTPDNS：是面向移動開發者推出的一款域名解析產品，具有域名防劫持、精準調度的特性。

視頻服務：

1.視頻點播：是集音視頻上傳、自動化轉碼處理、媒體資源管理、分發加速于一體的一站式音視頻點播解決方案。

2.視頻直播：是基于領先的內容接入與分發網絡和大規模分布式實時轉碼技術打造的音視頻直播平臺,提供便捷接入、高清流暢、低延遲、高并發的音視頻直播服務。

域名與網站：

1.云虛擬主機：也叫“網站空間”,每個空間都給予相應的FTP權限和Web訪問權限,以用 于網站發布。

2.云解析：是一種高可用性、高可擴展的權威 DNS 服務和 DNS 管 理服務。

3.云郵箱：是阿里云自主研發的,業內唯一一家擁有獨立公有云服務的郵件運營商,為企業 提供智能高效的郵件通信和管理服務。

4.彈性Web托管：新一代虛機，獨享內存，高性價比。

5.企業建站：海量模板與定制網站任您選。

數加：

1.大數據開發（公測中）：提供可視化開發界面、離線任務調度運維、快速數據集成、多人協同工作等功能,為您提供一個高效、安全的離線數據開發環境。

2.機器學習（公測中）：構建于阿里云MaxCompute、GPU等計算集群之上，匯集了阿里集團大量優質分布式算法，包括數據處理、特征工程、機器學習算法、文本算法等，可高效的完成海量、億級維度數據的復雜計算，給業務帶來更為精準的洞察力。

3.BI報表（公測中）：為用戶提供包括數據從采集、結構化、加工到展示分析整套的一站式大數據分析服務。

4.推薦引擎（公測中）：是一款用于實時預測用戶對物品偏好的數據工具。

5.規則引擎標準版：是一款用于解決業務規則頻繁變化的在線服務，它能幫助客戶將業務規則從應用程序代碼中分離出來，通過簡單組合預定義的條件因子即可靈活編寫業務規則，并根據業務規則做出業務決策。

6.移動定向營銷版（公測中）：幫助移動APP快速實現流量精準運營，助力沉淀用戶數據。

7.移動數據分析（公測中）：是阿里云推出的一款移動App數據統計分析產品，為開發者提供一站式數據化運營服務。

8.智能語音交互（公測中）：基于語音和自然語言技術構建的在線服務，為智能手機，智能電視以及物聯網等產品提供“能聽、會說、懂你”式的智能人機交互體驗。

9.機器翻譯（公測中）：基于阿里巴巴海量電商數據結合機器學習、自然語言處理技術，實現多語言語種識別與自動翻譯功能，為跨境電商信息本地化與跨語言溝通上提供精準、快捷、可靠的在線翻譯服務。

10.人臉識別（公測中）：人臉服務是一款用于提供圖像和視頻幀中人臉分析的在線服務。

11.電商圖像分析（公測中）：提供一些與電商相關的圖像分析技術的在線API給開發者和企業使用。

12.通用圖像分析（公測中）：是一款面對通用類型圖像的綜合分析在線服務，便于開發者和企業在自己的應用中快速嵌入圖像分析技術。

13.印刷文字識別（公測中）：提供光學字符識別（OCR）的在線服務，包括自然場景圖片的中英文文字檢測和識別。

14.大數據計算服務：是一種快速、完全托管的TB/PB級數據倉庫解決方案。

15.分析型數據庫：是阿里巴巴自主研發的海量數據實時高并發在線分析(Realtime OLAP)云計算服務。

16.流計算：是一個通用的流式計算平臺,提供實時(秒級乃至于毫秒級)的流式數據計算服務。

17.移動App數據化運營：為開發者提供一站式數據化運營服務，助力移動開發者實現基于大數據技術的精細化運營。

18.個性化推薦：根據用戶的興趣特點和購買行為，推薦用戶感興趣的信息和物品。

19.大數據倉庫：為您提供包括從數據采集、數據存儲、數據加工、數據管理、數據運維調度等完整的數倉解決方案。

20.云上數據集成方案：提供可跨異構數據存儲系統、可靠、安全、低成本、可彈性擴展的數據傳輸交互服務。

21.定向營銷：面對廣告定向投放、網站個性化運營和移動智能推送等多個場景，提供自定義目標人群、規則實時生效的精準營銷解決方案。

22.DataV（公測中）：讓企業創造自己的雙 11 指揮大屏。

23.郡縣圖治：讓政府創造自己的指揮大屏。

24.臺風路徑分析（公測中）：在臺風來臨前提供實時的各氣象臺預報數據對比展示分析，判斷臺風未來的走向及汛情

更多深度技術內容，請關注云棲社區微信公眾號：yunqiinsight。

面對 DNS 劫持，只能坐以待斃嗎？

DNS 劫持作為最常見的網絡攻擊方式，是每個站長或者運維團隊最為頭疼的事情。苦心經營的網站受到 DNS 劫持后，不僅會影響網站流量、權重，還會讓用戶置身于危險之中，泄露隱私造成財產損失。

就是這樣一個簡單到不能再簡單的攻擊方式，在 2009 年制造了轟動全球的“銀行劫持案”，導致巴西最大銀行 Banco Bradesco 銀行近 1% 客戶受到攻擊而導致賬戶被盜。黑客利用寬帶路由器缺陷對用戶 DNS 進行篡改——用戶瀏覽黑客所制作的 Web 頁面，其寬帶路由器 DNS 就會被黑客篡改，由于該 Web 頁面設有巧妙設計的惡意代碼，成功躲過安全軟件檢測，導致大量用戶被 DNS 釣魚詐騙。

網站被黑、被歹意鏡像、被植入垃圾代碼，現象屢見不鮮，其危害還包括：

釣魚詐騙網上購物,網上支付有可能會被惡意指向別的網站，更加加大了個人賬戶泄密的風險；

網站內出現惡意廣告；

輕則影響網速，重則不能上網。

但面對DNS劫持時，只能束手就擒嗎？

知己知彼，什么是 DNS？

DNS 即 Domain Name System 的縮寫，域名系統以分布式數據庫的形式將域名和 IP 地址相互映射。簡單的說，DNS 是用來解析域名的，在正常環境下，用戶的每一個上網請求會通過 DNS 解析指向到與之相匹配的 IP 地址，從而完成一次上網行為。DNS 作為應用層協議，主要是為其他應用層協議工作的，包括不限于 HTTP、SMTP、FTP，用于將用戶提供的主機名解析為 IP 地址，具體過程如下：

（1）用戶主機（PC 端或手機端）上運行著 DNS 的客戶端；

（2）瀏覽器將接收到的 URL 中抽取出域名字段，即訪問的主機名，比如 http://www.aliyun.com/ , 并將這個主機名傳送給 DNS 應用的客戶端；

（3）DNS 客戶機端向 DNS 服務器端發送一份查詢報文，報文中包含著要訪問的主機名字段（中間包括一些列緩存查詢以及分布式 DNS 集群的工作）；

（4）該 DNS 客戶機最終會收到一份回答報文，其中包含有該主機名對應的 IP 地址；

（5）一旦該瀏覽器收到來自 DNS 的 IP 地址，就可以向該 IP 地址定位的 HTTP 服務器發起 TCP 連接。

（圖片源自網絡，僅作示意）

可以看到想要獲取目標網站 IP，除了在本機中查找行為，還需要第三方服務器(DNS)參與。但只要經過第三方服務，網絡就不屬于可控制范圍，那么就有可能產生 DNS 挾持，比如獲取的 IP 并不是實際想要的 IP，從而打開非目標網站。網站在經過本地 DNS 解析時，黑客將本地 DNS 緩存中的目標網站替換成其他網站的 IP 返回，而客戶端并不知情，依舊按照正常流程尋址建并立連接。如果一些黑客想要盜取用戶賬號及密碼時，黑客可以做跟目標網站一模一樣的木馬頁面，讓用戶登錄，當用戶輸入完密碼提交的時候就中招了。

常見 DNS 劫持手段又有哪些？

（1）利用 DNS 服務器進行 DDoS 攻擊

正常 DNS 服務器遞歸詢問過程被利用，變成 DDoS 攻擊。假設黑客知曉被攻擊機器 IP 地址，攻擊者使用該地址作為發送解析命令的源地址。當使用 DNS 服務器遞歸查詢后會響應給最初用戶。如果黑客控制了足夠規模的肉雞進行上述操作。那么，這個最初用戶就會受到來自于 DNS 服務器的響應信息 DDoS 攻擊，成為被攻擊者。

（2）DNS 緩存感染

黑客使用 DNS 請求將數據注入具有漏洞的 DNS 服務器緩存中。這些緩存信息會在客戶進行 DNS 訪問時返回給用戶，把用戶對正常域名的訪問引導到入侵者所設置掛馬、釣魚等頁面上，或通過偽造郵件和其他服務獲取用戶口令信息，導致客戶遭遇進一步侵害。

（3）DNS 信息劫持

原則上 TCP/IP 體系通過序列號等多種方式避免仿冒數據插入，但黑客通過監聽客戶端和 DNS 服務器對話，就可以解析服務器響應給客戶端的 DNS 查詢 ID。每個 DNS 報文包括一個相關聯的 16 位 ID，DNS 服務器根據這個 ID 獲取請求源位置。黑客在 DNS 服務器之前將虛假響應交給用戶，欺騙客戶端去訪問惡意網站。假設當提交給某個域名服務器域名解析請求的數據包被截獲，然后按黑客的意圖將虛假 IP 地址作為應答信息返回給請求者。這時，原始請求者就會把這個虛假 IP 地址作為它所要請求的域名而進行連接，顯然它被引導到了別處而根本連接不上自己想要連接的那個域名。

（4）ARP 欺騙

通過偽造 IP 地址和 MAC 地址實現 ARP 欺騙，在網絡中產生大量 ARP 通信量使網絡阻塞，黑客只要持續不斷發出偽造的 ARP 響應包就能更改目標主機 ARP 緩存中的 IP-MAC 條目，造成網絡中斷或中間人攻擊。ARP 攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染 ARP 木馬，則感染該 ARP 木馬的系統將會試圖通過"ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。ARP 欺騙通常是在用戶局網中，造成用戶訪問域名的錯誤指向，但在 IDC 機房被入侵后，則也可能出現攻擊者采用 ARP 包壓制正常主機、或者壓制 DNS 服務器，以使訪問導向錯誤指向。

DNS 劫持對業務造成哪些影響？

一旦被劫持，相關用戶查詢就沒辦法獲取到正確 IP 解析，這就很容易造成：

（1）很多用戶習慣依賴書簽或者易記域名進入，一旦被劫持會使這類用戶無法打開網站，更換域名又沒辦法及時告知變更情況，導致用戶大量流失。

（2）用戶流量主要是通過搜索引擎 SEO 進入，DNS 被劫持后會導致搜索引擎蜘蛛抓取不到正確 IP，網站就可能會被百度 ban 掉。

（3）一些域名使用在手機應用 APP 調度上，這些域名不需要可以給客戶訪問，但這些域名的解析關系到應用 APP 訪問，如果解析出現劫持就會導致應用 APP 無法訪問。這時候更換域名就可能會導致 APP 的下架，重新上架需要審核并且不一定可以重新上架。這就會導致應用 APP 會有用戶無法訪問或者下載的空窗期。

可以看到，DNS 劫持對業務有著巨大影響，不僅僅是用戶體驗的損失，更是對用戶資產安全、數據安全的造成潛在的巨大風險。

我們該如何監測網站是否被 DNS 劫持？

借助 ARMS-云撥測，我們實時對網站進行監控，實現分鐘級別的監控，及時發現 DNS 劫持以及頁面篡改。

劫持檢測

DNS 劫持監測

利用域名白名單、元素白名單，有效探測域名劫持以及元素篡改情況。在建立撥測任務時，我們可以設置 DNS 劫持白名單。比如，我們配置 DNS 劫持格式的文件內容為 www.aliyun.com:201.1.1.22|250.3.44.67。這代表 www.aliyun.com 域名下，除了 201.1.1.22 和 250.3.44.67 之外的都是被劫持的。

頁面篡改監測

我們把原始頁面的元素類型加入頁面篡改白名單，在進行撥測時將加載元素與白名單對比，判斷頁面是否被篡改。比如，我們配置頁面篡改的文件內容為 www.aliyun.com:|/cc/bb/a.gif|/vv/bb/cc.jpg，這代表著 www.aliyun.com 域名下，除了基礎文檔 、/cc/bb/a.gif 和 /vv/bb/cc.jpg 之外的元素都屬于頁面被篡改。再比如，我們配置頁面篡改的文件內容為 www.aliyun.com:*，代表：www.aliyuyn.com 域名下所有的元素都不認為是被篡改。

劫持告警

在持續監測的同時，及時告警也至關重要。通過靈活配置劫持告警比例，當任務的劫持比例大于閾值，即迅速通知相關運維團隊，對網站進行維護，確保用戶的數據安全以及網站的正常瀏覽。

在提升用戶體驗的同時，確保網站以及用戶資產安全對于企業而言同樣至關重要。云撥測為你的網站安全與用戶體驗保駕護航！

作者：白玙

原文鏈接：http://click.aliyun.com/m/1000307907/

本文為阿里云原創內容，未經允許不得轉載。

阿里云回應未及時上報 Log4j2 重大漏洞：早期未意識到嚴重性

IT之家 12 月 23 日消息，近日，工信部發布通報，阿里云公司發現阿帕奇（Apache）Log4j2 組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究，暫停阿里云公司作為上述合作單位 6 個月。暫停期滿后，根據阿里云公司整改情況，研究恢復其上述合作單位。

阿里云官方今日回應稱，因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里云將強化漏洞管理、提升合規意識，積極協同各方做好網絡安全風險防范工作。

以下為阿里云官方回應全文：

Log4j2 是開源社區阿帕奇（Apache）旗下的開源日志組件，被全世界企業和組織廣泛應用于各種業務系統開發。

近日，阿里云一名研發工程師發現 Log4j2 組件的一個安全 bug，遂按業界慣例以郵件方式向軟件開發方 Apache 開源社區報告這一問題請求幫助。Apache 開源社區確認這是一個安全漏洞，并向全球發布修復補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。

阿里云因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里云將強化漏洞管理、提升合規意識，積極協同各方做好網絡安全風險防范工作。

IT之家了解到，本月阿里云計算有限公司發現了 Java 日志庫的阿帕奇 Apache Log4j2 組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。這一組件是基于 Java 語言的開源日志框架，被廣泛用于業務系統開發。漏洞編號為：CVE-2021-45046。

12 月 17 日，工信部網絡安全管理局發布關于阿帕奇 Log4j2 組件重大安全漏洞的網絡安全風險提示。官方表示，12 月 9 日收到了有關網絡安全專業機構報告，表示這一組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。

如何申請一個免費的企業郵箱

企業郵箱會讓你的業務顯得更加的正規一點，例如你的shopify店鋪域名是aaa.com，那么你可以設置企業郵箱：contact@aaa.com，service@aaa.com等等。

其實現在創建企業郵箱一般有三個渠道，主機服務商自帶的郵箱功能，域名服務商自帶的郵箱功能，第三方的郵箱功能（例如騰訊企業郵箱等等）。

一，騰訊企業免費郵箱

當我們有了網站之后，特別是shopify店鋪，我們肯定會利用到郵箱對用戶進行郵件的發送，那么最好是使用域名的企業郵箱，而不是你個人的郵箱，這樣會讓你的業務顯得比較正規。

這篇文章，我們詳細的說下如何利用騰訊免費企業郵箱。

1，首先進入官網：https://exmail.qq.com

首先我們需要來注冊一個賬號，可以直接選擇“掃碼登錄”，直接用我們的微信來掃碼。

如果選擇“手機號登錄”，輸入手機號，然后會給你手機發送驗證碼，填入驗證碼后也會讓你去用微信掃碼登錄。

登入后，點擊右上角“我的企業”，“域名管理”，然后輸入自己的域名，

輸入域名之后，下一步需要你到域名服務商去設置郵箱解析，例如我的域名是阿里云的，那么我就要登入到阿里云，控制臺，域名，解析，如圖：

然后點擊“添加記錄”，如下圖方框的就是需要添加上去的兩條記錄。

主機記錄：（留空不填，會自動顯示@）

記錄類型：MX，

記錄值：mxbiz2.qq.com ，優先等級是10。另外一個是 mxbiz1.qq.com ，優先等級是5.

這樣就算完成了郵箱解析了。

但是還有一個問題，就是有些喜歡contact@xxx.com，有些人喜歡info@xxx.com，如何去添加不同前綴的域名郵箱呢。

你只要點擊右上角的“管理工具”，“管理郵箱賬號”，然后點擊“業務郵箱”

接著你就可以看到“新建業務郵箱了”，但是需要注意的是免費版的只能新建三個業務郵箱，容量是1個G，但是對于剛開始的新手來說足夠使用了，等后面顧客多了，再去升級個付費的版本。

二，網易免費企業郵箱

我們打開官網：https://ym.163.com/，點擊“免費”，接著我們要輸入一些信息，域名，組織機構名稱，所在地，類型，規模。

點擊“同意協議并提交”，然后我們又要輸入管理員姓名，管理賬號，密碼，手機號，密保郵箱。

點擊下一步，我們需要用手機發送188到網易指定的號碼。

點擊“下一步”，我們需要驗證域名MX記錄了，

我這里同樣以阿里云域名來舉例，我們需要登入阿里云控制臺，點擊域名解析，然后添加兩條記錄，

添加第一條，記錄類型選擇MX，主機記錄@，記錄值mx.ym.163.com。

添加第二條，記錄類型選擇TXT，主機記錄@，記錄值v=spf1 include:spf.163.com ~all。

回到網易企業郵箱注冊頁面，點擊“下一步”，就會顯示企業郵箱注冊成功，我們可以點擊“立即登錄”，嘗試登入自己的企業郵箱了，但是注意可能還需要你實名認證下，同時需要等待最多48個小時才生效。

三，阿里云免費企業郵箱

打開官網：https://wanwang.aliyun.com/mail/freemail/，點擊立即開通，然后會顯示0元購買，我們直接購買下就可以了。

購買之后，同樣需要去域名解析設置下，如下圖設置就可以了。

四，主機企業郵箱

如果你自己購買了虛擬主機服務器，那么申請企業郵箱就會非常的簡單，我們要登入虛擬主機后臺，找到cpanel面板，（bluehost，siteground，a2等等大部分國外虛擬主機的后臺都有cpanel面板的），

然后找到“Email Accounts”，

點擊創建，選擇域名，然后輸入自己想要的名稱，例如service@，contact@等等就可以了。

這樣一個企業域名郵箱就創建完成了，但是有一個問題，就是如果有顧客給你發郵件，你必須是要登入到主機服務器后臺的郵箱列表這里才可以看到，會比較麻煩。

下面跟大家介紹下如何把企業郵箱綁定到自己常用的gmail郵箱上面（163郵箱也可以，方法是類似的），這樣的話，我們在gmail郵箱就可以看到顧客發送的郵件了，非常的方便。

首先登入你的gmail郵箱，點擊右上角的“設置” - “查看所有設置”

點擊“賬號和導入”，“添加郵件賬號”，

輸入想綁定的企業郵箱，點擊“下一步”，就可以了。