【雲端計算的1024種玩法】配置 Web應用防火牆 防患攻擊與未然

NO IMAGE
1 Star2 Stars3 Stars4 Stars5 Stars 給文章打分!
Loading...

前言
隨著網際網路的不斷髮展,網際網路上的攻擊威脅也越來越多,例如電商行業的交易資料被篡改,網站被篡改發表跑路內容導致信任危機,資料庫被攻擊導致客戶資訊洩露,相關客戶福利措施被薅羊毛等等,即便是很小的過失都可能帶來極大的負面效應。

而 Web應用防火牆 (以下或簡稱 WAF)就是這樣一款解決上述安全問題的產品,可以提供保障網站、APP等Web應用的資料安全、業務安全及可用性等服務。

介紹

Web應用防火牆 支援包括但不限於:防護OWASP常見威脅、0day漏洞快速防護、網站隱身、緩解惡意CC攻擊、過濾惡意的Bot流量、IP訪問控制、URL訪問控制、惡意CC變種攻擊、惡意爬蟲防護、管理後臺保護、盜鏈防護、攔截黑客針對不存在的URL地址、基於地理區域的封禁、企業版提供針對指定地區的IP訪問封禁、日誌管理 等功能。

相比於市面上常見的開源 WAF 產品,Web應用防火牆 更加專業,其集聚了安全大資料實時智慧引擎、海量惡意IP庫/IDC機器IP封禁、黑客威脅情報、Web攻擊&CC智慧演算法、精準訪問控制&業務安全等服務。

可以說 WAF 是一款用的人越多越聰明越好用的產品。

要求 & 收穫

需要使用到的產品:

  1. 任意(包括非阿里雲)伺服器/ECS /輕量應用伺服器/萬網雲虛擬主機
  2. Web應用防火牆

通過本文你將講學到:

  1. 配置使用 Web應用防火牆
  2. 常見 Web 攻擊的防護

說明

  1. 同高防 DDOS 和 SLB 這樣的產品不同而是 WAF
    只提供七層防護,無四層轉發,只有預設的2G-5G的防護能力,並不能抵禦大規模DDoS攻擊,但是提供更加精準的CC防護
  2. 接入 WAF 的域名必須在阿里雲備案或者備案接入阿里雲,而且不支援純IP
  3. WAF 不區分電信聯通線路,全線BGP線路,不需要分線路

接入

由於阿里雲的網路產品有很多,比如說 SLB、CDN、WAF、DDOS 高防等等,所以在配置的時候一定要按照一定的順序進行接入,不然可能很多產品使用了不僅不會起效果反而還會引起負面效果。

經典的糖葫蘆結構:
WAF —— SLB —— ECS

DDOS 高防 —— WAF —— SLB —— ECS

接入 CDN:
CDN —— WAF —— SLB —— ECS

有 CDN 和高防的場景:
但是如果有 DDOS高防 套在 CDN 後面就不會起作用,套在 CDN 之前 CDN 也會失去作用,這時候就要考慮阿里雲的 DDOS高防 和 CDN 結合的產品: SCDN

SCDN —— WAF —— SLB —— ECS

接入配置

一、 選擇防護的地域,是中國大陸還是海外地區,然後 新增網站

二、 然後會自動列出在阿里雲 DNS 中存在的網站,如果裡面沒有需要防禦的域名可以選擇 防護其他網站 ,記得勾選是否防禦 HTTPS

三、 在 管理 —— 網站配置 中,我們就可以看到我們新增的域名了,我們可以繼續進行編輯。 防護其他網站 的設定和 編輯網站配置 的內容一致:

WAF 可以為本地為 HTTP 的網站自動配置 HTTPS 非常的方便,適合不會配置 HTTPS 的新手,當然也支援 HTTPS 回源的全加密鏈路。

放行回源 IP

接入WAF後,WAF作為一個反向代理存在於客戶端和伺服器之間,伺服器的真實IP被隱藏起來,客戶端只能看到WAF,而看不到源站。如下圖所示(origin為源站):


在源站(真實伺服器)看來,所有的請求源IP都會變成WAF的回源IP段。
由於來源的IP變得更加“集中”,頻率會變得更快,伺服器上的防火牆或安全軟體很容易認為這些IP在發起攻擊,從而將其拉黑。一旦拉黑,WAF的請求將無法得到源站的正常響應,故務必要確保回源IP在源站上沒有被攔截。

進入 網站管理 在頂部可以看到有 Web應用防火牆回源IP網段列表 就是 WAF 的回源 IP 了,在伺服器的相關安全軟體中新增 IP 即可。

本地驗證

在把業務流量切到WAF上之前,建議先通過本地驗證的方式確保一切配置正常、WAF轉發正常。

我們 Ping 一下 WAF 提供的 CNAME 地址,複製解析到的 IP,然後修改 hosts 來測試:

然後我們模擬一個攻擊行為看看會不會被攔截,例如在域名後加入 ?id=../etc/passwd

例如訪問: https://links.mf8.biz/share/1…

那麼測試就成功了!

修改DNS解析

如果域名 DNS 使用的是阿里雲 DNS 那麼會自動進行 CNAME 配置,如果DNS為其他廠商需要手動複製 CNAME 地址,將受防護域名的記錄改 CNAME 記錄到分配的 CNAME 值上。

我們將型別選擇 CNAME,然後線路選擇 預設 ,再將記錄值改為 CNAME 值即可

值得一提的是 TTL 值一般建議設定為600秒(即10分鐘)。TTL值越大,意味著記錄的同步和更新越慢。

全網生效大致需要 10粉最 到最長 48 小時左右。

使用

安全報表
WAF 有著非常好的安全報表,我們可以詳細的瞭解發生的攻擊行為以及攻擊者資訊

並獲得相關風險預警:

防護配置

在 網站配置 處我們還可以選擇具體的 防護配置

例如我們可以在正在遭受大規模 CC攻擊 的時候調整為 攻擊緊急 模式

總結

Web 防火牆是一款開箱即用的安全產品,可以幫助解決不少安全問題,在資金充裕的情況下不失為一種很好的常備選擇!

本文作者:妙正灰

原文連結

本文為雲棲社群原創內容,未經允許不得轉載。

相關文章

伺服器 最新文章