开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18856
01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析
内容介绍
一、WAF产品简介
二、阿里云--WAF版本
三、Web安全和防爬防护主要场景
接下来来学习第三部分的内容WAF产品,WAF全称就是web application,就是外表应用防火墙,这一小节里,主要学习三个小节内容WAF产品的简介与特性的解析,还有WAF产品核心能力与接入原理,第三个就是WAF产品的使用流程。
一、WAF产品简介
首先来看第一部分大产品简介与特性解析,下面看一下的产品简介,Web应用防火墙( Web Application Firewall,简称 WAF)为网站或App业务提供一站式安全防护。
WAF可以识别外部业务流量的一些恶意特征,在对流量进行清洗和过滤之后,将正常安全的流量给到的服务器,避免的网站被恶意入侵来导致服务器出现一些问题,或者说数据被盗取等等,通过这张图,可以看出来,WAF是在的这一层里各个品牌的产品,像CDN,DDOS这些产品,接入到WAF以后,进行一个业务安全这块的流量的一个兴起,DDOS是看的是这种流量的清洗,攻击流量,刚刚提到过,然后WAF看的是比如说有没有利用的漏洞等等这些,进行一道防护,然后将真正干净的流量再注入到的云产品类,比如说SLB ECS这些,WAF针对的是web应用进行防护的,主要就是七层协议HTTP/HTTPS/HTTP2这种七层协议来做的,所以WAF保障的是七层,而DDOS有七层,有四层的,WAF只防的是七层的,Web端的,所以叫Web Application Firewall这是WAF产品的一个简介。
二、阿里云--WAF版本
阿里云WAF的几个版本,首先可以看到一共有六个版本,其中云WAF是五个,最后一个是CDN WAF,首先说CDN WAF,是CDN WAF的主要用于金融,电商,O2O互联网+游戏,政府保险这些行业,保护网站在使用CDN的时候,加速的同时免受外部的恶意攻击,也就是CDN WAF是放在了CDN侧,和云WAF还稍微有一点区别,云WAF,看到前面的四个版本,高级企业,旗舰,独享。
以及说混合云的独享版本,都是可以说是独立的WAF而CDN WAF是放在CDN机房的一个外部应用防火墙。
云WAF,首先,第一个就是高级版,高级版适合站点规模大致是中小型的网站,并且没有这种业务上有些特殊需求。特殊的一种安全需求的情况下,同时,云WAF的业务的并发请求峰值,能达到2000QPS,的业务带宽的阈值,原站在阿里云上是50兆,如果原站没有部署在阿里云上,仅仅享用安全能力。阈值在十兆左右,同时默认可防护一个域名,一个主域名,主域名不够还可以再买。默认的可防护的总域名的个数,包括泛域名这些一共是十个。
第二个是企业版,企业版就适合中型企业级网站或服务对互联网公开这种开放,关注数据安全,并且具有高标准的安全需求的情况下,可以用云WAF的企业版,QPS峰值达到了5000,同时对本地节点的以及对应的最大业务并发,是可以付费支持提高的带宽的阈值是在100兆左右,当然说的是原站在阿里云上,如果原站不在阿里云上,最大的带宽峰值是在30兆左右。
然后第三个,就是旗舰版,旗舰版适合就是中大型企业网站,同时具备较大的业务规模,或者说具有特殊定制的一些安全需求的情况下,QPS也就是业务的并发请求峰值,达到了1万以上,带宽阈值是200兆,同样也是的原站在阿里云以上,如果原站不在阿里云上,大约是50兆左右。
然后独享版,独享版适合这种大型网站了,具备比较大的业务规模,并且业务的这种特性,具有一些定制化的配置需求,默认的请求峰值,GPS是5000,带宽,如果说阿里云原站,在阿里云上的话是100兆,不在阿里云上是30兆,但是支持的可防护的主域名个数可以达到1000个,总域名个数也是达到1000个是非常厉害的,所以适合有一些这种定制化配置需求的时候混合云的尊享版,是这种大中型企业网站行。同时具有本地化部署的一些业务,以及说无法上云WAF防护的一些外部流量,希望和阿里云云WAF,有一致的高标准的这一个外部应用的一个外部安全防护能力,峰值是可扩展的也就是没有一个峰值的这一个限制,得看的节点了,因为是一个混合云版,可以会本地部署的,如果两个防护节点,可以达到一万的QPS。
带宽原站部署在阿里云上和部署在的本地机房,非阿里云,其实带宽这一块,都是随时根据环境来定的了。没有带宽的限制,就是零嘛,就看用户这边实际的带宽是多少,可以调多少,然后防护的域名数是200个,,是不区分域名分级的,每增加一个节点,刚才提到两个节点,是1万的QPS,加一个节点,再加了QPS的基础上,还会加的域名防护数量,每增加一个节点会增加100个域名的防护。这就是阿里云WAF的这几个版本的一个介绍,分享到这。
三、Web安全和防爬防护主要场景
接下来,来看Web安全和防爬防护的主要应用场景,这里可以看到的主要有三大场景,Web接口类场景,营销场景和恶意攻击的场景,首先说web接口场景,接口场景列出来叫登录、注册、投票、验证码,短信,黄牛囤货等等这些,可以称为Web接口类场景,也就是正常的用户,登录的网站需要输入用户名密码,而黑客,或者说不法分子,通过的Web接口,也就是登录用户名密码,其实是登录的接口,获取到接口以后,不用人工的去登录用户名密码,直接给输入相应的参数就可以登录了,这样比人手动输入效率要高,速度要快很多,这样在一些秒杀,或者说一些这种需要用户投票等等场景下的话,要比正常人去登录等等效率要高得多,其实这就是对的网站造成了一定的危害,因为大量的这种登录刷上来以后,首先的网站有可能支撑不住,挂掉,还有就是有很多的用户并不是真正的用户,而是机器人用户,造成了很多虚假的一些信息,还有就是刚才提到了投票这种场景,恶意的刷票等等,都是通过这种接口来进行登录,因为效率高,因为这种不法分子也要也讲究的是的投票的一个效率,真的发动了几十万人投票,成本是很高的,但是几十万台虚拟的机器去投票,可能就一台电脑就能搞定,可以做到利益最大化,所以对的网站来讲,瞬间有这大量的流量进来,对网站,对数据安全,都是一个危害,所以这是Web接口的场景。
营销场景,其实跟Web接口有相关联,像投票注册登录这些,对于营销来讲会爬取一些信息,比如说广告信息,房产信息,恶意占座,活动的薅羊毛等等,就像的抢票一样,比方说某一个演唱会抢票,黄牛就可以用这种,首先通过找到的外部接口,然后很多的虚拟用户去登录去购买的票,就是薅羊毛或者抢票,抢完票以后票都到手里了,然后高价卖出去,这就是对营销场景来讲也是一个危害。
恶意攻击来讲有三大块,短信炸弹,网站的暴力破解和恶意的爬虫,恶意爬虫说的就是这种强行爬的相关信息,比如说小说或视频网站,把小说或视频爬取下来,然后转到的网站里来,这种恶意的爬虫能盗取相关信息,短信炸弹说的内容,就是很多的的网站都有这种注册用户名,密码,还有手机号,短信炸弹就是填写手机号,发验证消息,掌握了很多的这种网站的情况下,比如说输入一个手机号,被攻击的用户,手机号给填进去以后,可能填了1万个网站,1000个网站,会瞬间收到这些网站给发的短信,这就是形成了一个短信炸弹,而黑客来讲,没有什成本,发短信是的真正的企业的业务发的短信,也就是花了一毛钱给客户发了一条验证短信,而客户受到了攻击,被攻击者受到了攻击,黑客就不正当的进行一些得利等等,网站的暴力破解,也就是将的网站进行一个比如说账号密码的一个频繁的试错,进行暴力的破解,这就是是Web安全和防爬防护主要的一个应用场景。
从下面的三张图中,可以看到阿里云安全目前是亚太区WAF厂商的领导者。
阿里云的主动安全模型和基于学习的异常检测能力被2019年的智能报告评为了核心优势,同时,获得了全球四大权威机构报告的高度认可,实现了全球机构认可的大满贯。
爬虫机器对抗能力来说,也是全球唯一连续两年入围了这种权威向前报告的CNCT网络安全创新产品一等奖,FIT2019互联网安全创新大会年度技术创新变革奖,所以说阿里云安全,也是亚太安全的一个领导者。
