25
https://www.aliyun.com/solution/tech-solution/web-protection
随着网络技术的不断发展,您的Web应用如果没有流量入口的防护,会面临如下风险:
网页被恶意篡改,导致信息不准确。
站点响应突然变慢或突然遇到海量的访问请求,影响正常用户访问。
账户、手机号等敏感数据泄漏或数据库数据被篡改,导致业务受影响。
面对新型的安全漏洞,修改代码做修复需要花时间,有阶段性的安全隐患。
为了满足各行业安全合规要求,需要花大量的开发成本来达到网站的安全防护水位。
如何高效灵活地避免以上问题,防护您的web应用,我们推荐您使用阿里云Web应用防火墙(Web Application Firewall,简称WAF)。WAF通过对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
方案架构
WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体网络架构如下图所示。
本方案的技术架构包括以下基础设施和云服务:
云服务器 ECS:部署了Web应用。
WAF 3.0按量付费版:用于防护Web应用。
5
准备一个需要接入WAF防护的ECS实例。
访问阿里云免费试用,在Web应用防火墙资源包3.0卡片,如果您符合试用规则,可以单击立即试用。
如果显示您不符合试用规则,您可以开通按量付费版。确保您的阿里云账户余额不小于100元,以便使用按量付费资源。选用最低规格的按量计费ECS实例与WAF 3.0按量付费版体验本方案,并在体验结束后释放资源,产生的费用不超过5元。实际费用以控制台账单为准。
5
在Web应用防火墙3.0(按量付费)购买页,参考下表配置参数,然后单击立即购买。
配置项
描述
商品类型
选择Web应用防火墙3.0。
付费模式
选择按量付费。
地域
根据您的业务所在地域,选择WAF实例的地域。可选项:中国内地、非中国内地。
WAF版本
默认为按量3.0,表示开通的实例为WAF 3.0按量付费版本。
流量计费保护阈值
设置实例的流量计费保护阈值,如果实例的峰值QPS流量超过设置的阈值时,实例将进入沙箱,并且该小时不会出账(流量费和功能费会正常统计),实际总费用为0。
按量付费实例支持的最大阈值与默认值保持一致:
中国内地:100,000 QPS。
非中国内地:10,000 QPS。
重要实例进入沙箱后,将不再保证产品SLA。接入该实例防护的流量将随时可能出现业务访问异常,包括但不限于丢包、限速、限连、防护失效、日志/报表数据异常、访问超时、进入DDoS清洗/黑洞等。如果实例一直处于沙箱状态,请及时调整流量计费保护阈值,避免业务受到影响。更多信息,请参见沙箱说明。
确认配置信息后,同意服务协议,并单击立即开通。
10
实例首次接入WAF时,Web业务可能会出现秒级闪断。在客户端可自动重连的情况下该闪断会自动恢复,不会对您的业务造成影响,请您关注业务并根据业务系统评估准备重连或回源等相关容灾机制。
ECS实例接入WAF后,如果进行如下操作,引流端口会自动取消接入。您需要重新添加端口,否则,业务流量将不会经过WAF防护。
更换实例上绑定的公网IP
ECS创建迁移任务,变更可用区
实例被释放
ECS引流是对EIP或公网IP进行的引流。
ECS解绑EIP后引流会被自动删除。
操作步骤
在左侧导航栏,单击接入管理。
选择云产品接入页签,在左侧云产品类型列表,选择ECS。
根据页面提示,单击立即授权,完成云产品授权(如果您已经完成云产品授权,则该页面不会出现,您可以直接执行后续步骤)。
单击同步最新资产,等待约60s后,选择需要添加的实例,单击添加端口。
在添加端口弹窗,根据您Web应用的协议类型,填入端口号及其他配置信息。本方案以HTTP协议为例,填入80端口。
如果您的Web应用采用了HTTPS协议,需要上传证书,并选择高级配置。详情请参见添加引流端口。
完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在防护对象页面,查看自动添加的防护对象。
如果您希望继续使用WAF 3.0的更多防护功能,请参见图说防护配置。
5
方案验证
在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
在域名后输入SQL恶意攻击代码验证防护效果,例如,返回如下405拦截提示页面,则表示攻击被拦截。
清理
阿里云为新用户提供每月20元的免费额度,周期为3个月,下单后立即生效。如果出现超额,超额部分将按照WAF 3.0按量付费的计费规则付费。
如果您不再使用WAF 3.0实例,可以登录控制台,在总览页面单击关闭WAF。
25
https://www.aliyun.com/solution/tech-solution/web-protection
随着网络技术的不断发展,您的Web应用如果没有流量入口的防护,会面临如下风险:
网页被恶意篡改,导致信息不准确。
站点响应突然变慢或突然遇到海量的访问请求,影响正常用户访问。
账户、手机号等敏感数据泄漏或数据库数据被篡改,导致业务受影响。
面对新型的安全漏洞,修改代码做修复需要花时间,有阶段性的安全隐患。
为了满足各行业安全合规要求,需要花大量的开发成本来达到网站的安全防护水位。
如何高效灵活地避免以上问题,防护您的web应用,我们推荐您使用阿里云Web应用防火墙(Web Application Firewall,简称WAF)。WAF通过对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体网络架构如下图所示。
本方案的技术架构包括以下基础设施和云服务:
云服务器 ECS:部署了Web应用。
WAF 3.0按量付费版:用于防护Web应用。
10
一键部署基于阿里云资源编排服务ROS(Resource Orchestration Service)实现,ROS模板已定义好脚本,可自动化地完成云资源的创建和配置,提高资源的创建和部署效率。
您可以通过下方提供的ROS一键部署链接,来自动化地完成这些资源的创建和配置:
创建 ECS 实例
安装一个 Web 网站
开通 WAF 3.0按量付费版。
操作步骤
单击一键部署,并选择地域。
在配置页面选择可用区、ECS规格、设置密码,确认好价格后单击下一步。
在价格预览确认价格后,单击创建。
本方案中,ECS和WAF都是按量计费,其中,WAF按量付费实例会根据每个完整小时内处理的业务请求量及您已启用的防护功能,计算该小时的流量处理费和功能费,生成分时账单,并在每个结算周期生成每日账单。实际产生费用以账单为准。
当资源栈信息页面的状态显示为创建成功时表示一键配置完成。
5
实例首次接入WAF时,Web业务可能会出现秒级闪断。在客户端可自动重连的情况下该闪断会自动恢复,不会对您的业务造成影响,请您关注业务并根据业务系统评估准备重连或回源等相关容灾机制。
ECS实例接入WAF后,如果进行如下操作,引流端口会自动取消接入。您需要重新添加端口,否则,业务流量将不会经过WAF防护。
更换实例上绑定的公网IP
ECS创建迁移任务,变更可用区
实例被释放
ECS引流是对EIP或公网IP进行的引流。
ECS解绑EIP后引流会被自动删除。
操作步骤
在左侧导航栏,单击接入管理。
选择云产品接入页签,在左侧云产品类型列表,选择ECS。
根据页面提示,单击立即授权,完成云产品授权(如果您已经完成云产品授权,则该页面不会出现,您可以直接执行后续步骤)。
选择需要通过一键部署创建的实例(名称为ecs_waf-solution),单击添加端口。
在添加端口弹窗,填入端口号80。
完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在防护对象页面,查看自动添加的防护对象。
如果您希望继续使用WAF 3.0的更多防护功能,请参见图说防护配置。
10
方案验证
登录ROS控制台,在左侧导航栏,选择资源栈,找到本方案创建的资源栈。
在资源栈详情页,单击输出页签,单击的网站地址url打开部署的网站。此刻能正常访问。
在域名后输入SQL恶意攻击代码验证防护效果,例如,返回如下405拦截提示页面,则表示攻击被拦截。
清理
在本方案中,您创建了1个ECS实例、1个WAF实例。体验完方案后,您可以参考以下规则处理对应产品的资源,避免继续产生费用。
登录ROS控制台,在左侧导航栏,选择资源栈。
找到本方案部署的资源栈,然后在其右侧操作列,单击删除。
在删除资源栈对话框,选择删除方式为释放资源,然后单击确定,根据提示完成资源释放。
如果您不再使用WAF 3.0实例,可以登录控制台,在总览页面单击关闭WAF。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
发表评论