01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析

开发者学习笔记【阿里云云安全助理工程师认证（ACA）课程：01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析】

课程地址：https://edu.aliyun.com/course/3111981/lesson/18856

01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析

内容介绍

一、WAF产品简介

二、阿里云--WAF版本

三、Web安全和防爬防护主要场景

接下来来学习第三部分的内容WAF产品，WAF全称就是web application，就是外表应用防火墙，这一小节里，主要学习三个小节内容WAF产品的简介与特性的解析，还有WAF产品核心能力与接入原理，第三个就是WAF产品的使用流程。

一、WAF产品简介

首先来看第一部分大产品简介与特性解析，下面看一下的产品简介，Web应用防火墙( Web Application Firewall，简称 WAF)为网站或App业务提供一站式安全防护。

WAF可以识别外部业务流量的一些恶意特征，在对流量进行清洗和过滤之后，将正常安全的流量给到的服务器，避免的网站被恶意入侵来导致服务器出现一些问题，或者说数据被盗取等等，通过这张图，可以看出来，WAF是在的这一层里各个品牌的产品，像CDN，DDOS这些产品，接入到WAF以后，进行一个业务安全这块的流量的一个兴起，DDOS是看的是这种流量的清洗，攻击流量，刚刚提到过，然后WAF看的是比如说有没有利用的漏洞等等这些，进行一道防护，然后将真正干净的流量再注入到的云产品类，比如说SLB ECS这些，WAF针对的是web应用进行防护的，主要就是七层协议HTTP/HTTPS/HTTP2这种七层协议来做的，所以WAF保障的是七层，而DDOS有七层，有四层的，WAF只防的是七层的，Web端的，所以叫Web Application Firewall这是WAF产品的一个简介。

二、阿里云--WAF版本

阿里云WAF的几个版本，首先可以看到一共有六个版本，其中云WAF是五个，最后一个是CDN WAF，首先说CDN WAF，是CDN WAF的主要用于金融，电商，O2O互联网+游戏，政府保险这些行业，保护网站在使用CDN的时候，加速的同时免受外部的恶意攻击，也就是CDN WAF是放在了CDN侧，和云WAF还稍微有一点区别，云WAF，看到前面的四个版本，高级企业，旗舰，独享。

以及说混合云的独享版本，都是可以说是独立的WAF而CDN WAF是放在CDN机房的一个外部应用防火墙。

云WAF，首先，第一个就是高级版，高级版适合站点规模大致是中小型的网站，并且没有这种业务上有些特殊需求。特殊的一种安全需求的情况下，同时，云WAF的业务的并发请求峰值，能达到2000QPS，的业务带宽的阈值，原站在阿里云上是50兆，如果原站没有部署在阿里云上，仅仅享用安全能力。阈值在十兆左右，同时默认可防护一个域名，一个主域名，主域名不够还可以再买。默认的可防护的总域名的个数，包括泛域名这些一共是十个。

第二个是企业版，企业版就适合中型企业级网站或服务对互联网公开这种开放，关注数据安全，并且具有高标准的安全需求的情况下，可以用云WAF的企业版，QPS峰值达到了5000，同时对本地节点的以及对应的最大业务并发，是可以付费支持提高的带宽的阈值是在100兆左右，当然说的是原站在阿里云上，如果原站不在阿里云上，最大的带宽峰值是在30兆左右。

然后第三个，就是旗舰版，旗舰版适合就是中大型企业网站，同时具备较大的业务规模，或者说具有特殊定制的一些安全需求的情况下，QPS也就是业务的并发请求峰值，达到了1万以上，带宽阈值是200兆，同样也是的原站在阿里云以上，如果原站不在阿里云上，大约是50兆左右。

然后独享版，独享版适合这种大型网站了，具备比较大的业务规模，并且业务的这种特性，具有一些定制化的配置需求，默认的请求峰值，GPS是5000，带宽，如果说阿里云原站，在阿里云上的话是100兆，不在阿里云上是30兆，但是支持的可防护的主域名个数可以达到1000个，总域名个数也是达到1000个是非常厉害的，所以适合有一些这种定制化配置需求的时候混合云的尊享版，是这种大中型企业网站行。同时具有本地化部署的一些业务，以及说无法上云WAF防护的一些外部流量，希望和阿里云云WAF，有一致的高标准的这一个外部应用的一个外部安全防护能力，峰值是可扩展的也就是没有一个峰值的这一个限制，得看的节点了，因为是一个混合云版，可以会本地部署的，如果两个防护节点，可以达到一万的QPS。

带宽原站部署在阿里云上和部署在的本地机房，非阿里云，其实带宽这一块，都是随时根据环境来定的了。没有带宽的限制，就是零嘛，就看用户这边实际的带宽是多少，可以调多少，然后防护的域名数是200个，，是不区分域名分级的，每增加一个节点，刚才提到两个节点，是1万的QPS，加一个节点，再加了QPS的基础上，还会加的域名防护数量，每增加一个节点会增加100个域名的防护。这就是阿里云WAF的这几个版本的一个介绍，分享到这。

三、Web安全和防爬防护主要场景

接下来，来看Web安全和防爬防护的主要应用场景，这里可以看到的主要有三大场景，Web接口类场景，营销场景和恶意攻击的场景，首先说web接口场景，接口场景列出来叫登录、注册、投票、验证码，短信，黄牛囤货等等这些，可以称为Web接口类场景，也就是正常的用户，登录的网站需要输入用户名密码，而黑客，或者说不法分子，通过的Web接口，也就是登录用户名密码，其实是登录的接口，获取到接口以后，不用人工的去登录用户名密码，直接给输入相应的参数就可以登录了，这样比人手动输入效率要高，速度要快很多，这样在一些秒杀，或者说一些这种需要用户投票等等场景下的话，要比正常人去登录等等效率要高得多，其实这就是对的网站造成了一定的危害，因为大量的这种登录刷上来以后，首先的网站有可能支撑不住，挂掉，还有就是有很多的用户并不是真正的用户，而是机器人用户，造成了很多虚假的一些信息，还有就是刚才提到了投票这种场景，恶意的刷票等等，都是通过这种接口来进行登录，因为效率高，因为这种不法分子也要也讲究的是的投票的一个效率，真的发动了几十万人投票，成本是很高的，但是几十万台虚拟的机器去投票，可能就一台电脑就能搞定，可以做到利益最大化，所以对的网站来讲，瞬间有这大量的流量进来，对网站，对数据安全，都是一个危害，所以这是Web接口的场景。

营销场景，其实跟Web接口有相关联，像投票注册登录这些，对于营销来讲会爬取一些信息，比如说广告信息，房产信息，恶意占座，活动的薅羊毛等等，就像的抢票一样，比方说某一个演唱会抢票，黄牛就可以用这种，首先通过找到的外部接口，然后很多的虚拟用户去登录去购买的票，就是薅羊毛或者抢票，抢完票以后票都到手里了，然后高价卖出去，这就是对营销场景来讲也是一个危害。

恶意攻击来讲有三大块，短信炸弹，网站的暴力破解和恶意的爬虫，恶意爬虫说的就是这种强行爬的相关信息，比如说小说或视频网站，把小说或视频爬取下来，然后转到的网站里来，这种恶意的爬虫能盗取相关信息，短信炸弹说的内容，就是很多的的网站都有这种注册用户名，密码，还有手机号，短信炸弹就是填写手机号，发验证消息，掌握了很多的这种网站的情况下，比如说输入一个手机号，被攻击的用户，手机号给填进去以后，可能填了1万个网站，1000个网站，会瞬间收到这些网站给发的短信，这就是形成了一个短信炸弹，而黑客来讲，没有什成本，发短信是的真正的企业的业务发的短信，也就是花了一毛钱给客户发了一条验证短信，而客户受到了攻击，被攻击者受到了攻击，黑客就不正当的进行一些得利等等，网站的暴力破解，也就是将的网站进行一个比如说账号密码的一个频繁的试错，进行暴力的破解，这就是是Web安全和防爬防护主要的一个应用场景。

从下面的三张图中，可以看到阿里云安全目前是亚太区WAF厂商的领导者。
阿里云的主动安全模型和基于学习的异常检测能力被2019年的智能报告评为了核心优势，同时，获得了全球四大权威机构报告的高度认可，实现了全球机构认可的大满贯。

爬虫机器对抗能力来说，也是全球唯一连续两年入围了这种权威向前报告的CNCT网络安全创新产品一等奖，FIT2019互联网安全创新大会年度技术创新变革奖，所以说阿里云安全，也是亚太安全的一个领导者。