开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18857
01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理
内容介绍
一、阿里云WAF技术能力
二、WAF产品接入模式
一、阿里云WAF技术能力
WAF产品的核心能力与接入原理,首先来看一下阿里云WAF的技术能力,在图中可以清晰看到,包括了WEB攻击安全保护,全球智能负载,敏感数据保护,ACL精准防护控制,API安全保护,可分析全量日志,CC攻击安全保护,账号安全保护,智能告警以及默认的DDOS安全保护。当然有5G的默认防护还有防爬的安全防护,下面请看详细介绍
阿里云WAE具有WEB应用防火墙产品线六大核心能力,第一个,就是实时防护与低误报能力,第二全球智能调用能力,三0Day防护能力。在刚才的内容0Day防护能力,四混合云整体防护,五Bot防护能力也叫机器人防护能力,防爬等等,六海量的可信情报。
二、WAF产品接入模式
在表格中,可以看到产品的接模式,主要有四种,一种是DNS-Cname接入,第二种是透明接入,三是CDN的边缘接入,五是软件部署接入。
首先c name接入,C name接入适合于所有的用户,包括云上用户,本地IDC的用户都可以使用,通过DS解析调度来实现域名的一个接入,优势在于接入范围广,广泛的覆盖云上和云下的用户,然后选择上来讲,如果用户云上或者本地都有网站的防护需求来看的,或者说云上没有使用七层负载均衡,可以使用DNS的c name接入,第二个就是透明接入了,透明接入就是云上已经使用过计划使用系统负载均衡的用户,可以进行无感知的进入毫秒及延迟,WAF接入不需要调整现有的网络架构,同时网站的业务转发和安全防护分离,一键白pass,那网站的业务,安全可靠且稳定,同时支持多地域的介入,用户云上已经使用过的计划使用了负载均衡,并且对外的IP是比较多的,对外负IP比较多,有多个IP,并且多个s ni的问题,需要解决,还有黑客端口比较多的情况下,可以使用透明接入,CDN边缘接入,适用于所有的使用CDN的用户,如果说用户用CDN,可以使用CDN边用接入,可以在CDN和直接开通web产品防护,也是无改制的,直接在阿里云上的CDN开通web产品防护就好了,毫秒及的一个延迟,Web接入,不需要调整现有的规则,现有网络架构的一些规则都比较调整。而且CDN加速的同时,解决了安全的防护问题,主要针对的用户就是阿里云CDN的客户,相拥有相应的WAF的安全能力的情况下,可以开启的边缘WAF,软件部署接入,适合流量不上云,多云防护。或私网和专线防护的一个需求的用户了,优势在于说的部署灵活,不限制部署位置和接入的地区。
可以提供VPC内部的防护专线防护就是多云多节点的防护,支持多节点多集群的防护,支持IP接入,不需要改变原有的业务走向,以及说如果说的流量不希望上云,而且具有一些特殊的接入位置要求的情况下,还有那个内网安全防护的情况下,可以选择软件部署接入,这四种是WAF产品的接入模式。
下面,来看一下WAF产品接入原理的第一个Cname 反向代理接入,接入原理是通过DNS的反向代理,也就是DNS常牵引技术来使用。WAF来生成唯一的一个c name,通过DNS,牵引c name来进行一个进行业务的走向是通过的用户解析到的DNS,那DNS将的c name进行给到的用户,用户流量就访问到的WAF集群里来,然后WAF集群。进行一个过滤,那将正常的流量发表到给后边,比如说负载均衡或者Web应用服务器,然后再将Web应用服务器的正常的业务处理完以后再返给的WAF,WAF再给到的整个用户,业务流量一个走向,就是业务流量全部是经过WAF产品进行转发和防护,请求日志与防护日志,都通过的日志服务进行存存储和使用,针对WAF产品的流量进行分析BUT的流量和WAF攻击流量分析后可进行观察和系统默认拦截,自定义拦截等等,并且提供了AI智能防护,主动防御,全局流量限速,零内默认防护等这些安全的功能,这就是最简单的一个技术方式,也是最通用的一个配置方式,就刚才说到的DNS的Cname接入,只需要在的DNS里面,将WAF生成的c name解析到的域名下面就可以,操作起来也非常的简单。
第二个就是透明介入,透明介入的接入原理,就是通过云入口流量默认的迁引防护,也就是只要开通透名接入,不需要更改DNS等相关的这些信息,业务流量走向和原来用户使用没有发生任何的变化,同时也可以提供全量的请求日志,攻击的防护日志,也就是使用透明介入真的是对用户是透明的,也就是不需要做任何的改动,看这张图可以看出来,原来的业务是DDOS解析到的七层负载均衡,再到的Web应用服务器上来,开通了透明接入以后,还是流程,只不过说是在七层负债均衡进行一个流量的牵引,进入到公共的WAF集群,然后进行清洗,将正常的流量,放行到的系统七层负载均衡,再给后端的应用。所以无论是攻击流量,机器人流量,还是正常用户的流量,都是先解析到的七层的负载均衡里来,然后七层的负载均衡和的WAF集群有一个流量牵引的这么一个关系,然后到了WAF集群以后再进行清洗,然后再返回去,如果是公击流量的话,就进行一个拦截,如果是正常流量就放行掉,防护能力上和之前提到的Cname的接入防护能力都是一样的,只不过这种方式,不需要修改任何的DNR等等这些相关的信息,对于比如说IP多,改起来起来比较麻烦,以及业务比较多的情况下是比较适合的。
接入方式,就是刚刚提到的CDN边缘接入了,CDN边缘接入,其实也不需要做过多的操作,只需要在CDN测直接开通就可以了,那Web集群,部署在那CDN的边缘节点,CDN集成了WAF的防护能力。业务的流量走向,也没有发生任何的变化,还是之前的业务流量是一样的,而且请求日志,是在CDN测安全的工防日志,默认是存储了七天,通过这张图中,可以看到,用户比如访问的这些业务,有了CDN加速以后,通都是通过CDN来做的,开通了CDN的 WAF以后,看到在的边缘WAF集群,L1节点其实就是的CDN的节点,无论是黑客的流量,还是普通用户的流量到的CDN节点L1节点以后,都向的CDN集群去进行一个分发,然后由CDN的WAF进行清洗,将正常的流量访问到的后台,当然CDN的作用是加速,所以说在R1节点也会有相应的自动进行一个识别,比如说不需要从原站去拉资源,直接是L1节点向L2节点发的时候,去拉通资源的时候,直接通过的边缘WAF群来进行一个清洗到的。
边缘的集群是在和的R2接连在一起的,CDN的边缘WAF,提供了全量的WAF产品规则和防护能力,默认是按量的一个WAF能力,那提供了的AI智能防护,主动防御,全局的流量限速等等,包括零电漏洞的一个防护和之前的防护能力都是一样的,只不过,是开在了CDN的边缘节点上,是针对CDN这款产品的一个WAF的防护能力。
下面可以看到WAF产品的接入原理,最后一个就是软件形态的接入,以软件形态进行一个接入,接入原理,就是软件部署在相应的节点上,也就是的web应用服务器的前面这一层,负载均衡后面一侧需要提供服务器,以WAF以软件的形式进行部署,用户不需要改DNS还是DNS解析到负载均衡,但是由负载均衡,转到优先转到的WAF装了WAF软件的硬件服务器上来,再有硬件服务器,再去转到的web应用的服务器上来,当然了服务器说硬件服务器也好,说是的ecs,云服务器都可以,所以是一种软件形态的接入业务流量走向也没有发生变化,只不过是从负载均衡转到了装有WAF软件产品的服务器上,再由这台服务器进行往后分发,提供的安全的防护能力,和之前WAF产品都是一样的,包括说零内入实时更新这些都没问题,只是说在接入形态上是在了相应对的后端一些,流量全部都做DNS解析,到的负载均衡,由负载均衡到的软件WAF上,再进行过滤到应Web应用服务器的形态,形态上会发生变化,但是流量的走向以及说请求的走向等等,这些是没有发生任何变化的。
