01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析

本文涉及的产品
应用实时监控服务-应用监控,每月50GB免费额度
应用实时监控服务-用户体验监控,每月100OCU免费额度
函数计算FC,每月15万CU 3个月
简介: 01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析

课程地址:https://edu.aliyun.com/course/3111981/lesson/18856


01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析


内容介绍

一、WAF产品简介

二、阿里云--WAF版本

三、Web安全和防爬防护主要场景

 

接下来来学习第三部分的内容WAF产品,WAF全称就是web application,就是外表应用防火墙,这一小节里,主要学习三个小节内容WAF产品的简介与特性的解析,还有WAF产品核心能力与接入原理,第三个就是WAF产品的使用流程。


一、WAF产品简介图片14.png


首先来看第一部分大产品简介与特性解析,下面看一下的产品简介,Web应用防火墙( Web Application Firewall,简称 WAF)为网站或App业务提供一站式安全防护。


WAF可以识别外部业务流量的一些恶意特征,在对流量进行清洗和过滤之后,将正常安全的流量给到的服务器,避免的网站被恶意入侵来导致服务器出现一些问题,或者说数据被盗取等等,通过这张图,可以看出来,WAF是在的这一层里各个品牌的产品,像CDN,DDOS这些产品,接入到WAF以后,进行一个业务安全这块的流量的一个兴起,DDOS是看的是这种流量的清洗,攻击流量,刚刚提到过,然后WAF看的是比如说有没有利用的漏洞等等这些,进行一道防护,然后将真正干净的流量再注入到的云产品类,比如说SLB ECS这些,WAF针对的是web应用进行防护的,主要就是七层协议HTTP/HTTPS/HTTP2这种七层协议来做的,所以WAF保障的是七层,而DDOS有七层,有四层的,WAF只防的是七层的,Web端的,所以叫Web Application Firewall这是WAF产品的一个简介。

 

二、阿里云--WAF版本

阿里云WAF几个版本,首先可以看到一共有六个版本,其中云WAF是五个,最后一个是CDN WAF,首先说CDN WAF,是CDN WAF的主要用于金融电商O2O互联网+游戏,政府保险这些行业,保护网站在使用CDN的时候,加速的同时免受外部的恶意攻击,也就是CDN WAF是放在了CDN侧,和云WAF还稍微有一点区别,云WAF,看到前面的四个版本,高级企业旗舰独享。

图片15.png

以及说混合云的独享版本,都是可以说是独立的WAF而CDN WAF是放在CDN机房的一个外部应用防火墙


WAF,首先,第一个就是高级版,高级版适合站点规模大致是中小型的网站,并且没有这种业务上有些特殊需求。特殊的一种安全需求的情况下,同时,云WAF的业务的并发请求峰值,能达到2000QPS,的业务带宽的阈值,原站在阿里云上是50兆,如果原站没有部署在阿里云上,仅仅享用安全能力。阈值在十兆左右,同时默认可防护一个域名,一个主域名,主域名不够还可以再买。默认的防护的总域名的个数,包括泛域名这些一共是十个


第二个是企业版,企业版就适合中型企业级网站或服务对互联网公开这种开放,关注数据安全,并且具有高标准的安全需求的情况下,可以用云WAF的企业版,QPS峰值达到了5000,同时对本地节点的以及对应的最大业务并发,是可以付费支持提高的带宽的阈值是在100兆左右,当然说的是原站在阿里云上,如果原站不在阿里云上,最大的带宽峰值是在30兆左右。


然后第三个,就是旗舰版,旗舰版适合就是中大型企业网站,同时具备较大的业务规模,或者说具有特殊定制的一些安全需求的情况下,QPS也就是业务的并发请求峰值,达到了1万以上,带宽阈值是200兆,同样也是的站在阿里以上,如果原站不在阿里上,大约是50兆左右


然后独享版,独享版适合这种大型网站了,具备比较大的业务规模,并且业务的这种特性,具有一些定制化的配置需求,默认的请求峰值,GPS是5000,带宽,如果说阿里云原站,在阿里云上的话是100兆,不在阿里云上是30兆,但是支持的可防护的主域名个数可以达到1000个,总域名个数也是达到1000个是非常厉害的,所以适合有一些这种定制化配置需求的时候混合云的尊享版,是这种大中型企业网站行同时具有本地化部署的一些业务,以及说无法上云WAF防护的一些外部流量,希望和阿里云云WAF,有一致的高标准的这一个外部应用的一个外部安全防护能力,峰值是可扩展的也就是没有一个峰值的这一个限制,得看的节点了,因为是一个混合云版,可以会本地部署的,如果两个防护节点,可以达到一的QPS。


带宽原站部署在阿里云上和部署在的本地机房,非阿里云,其实带宽这一块,都是随时根据环境来定的了。没有带宽的限制,就是零嘛,就看用户这边实际的带宽是多少,可以调多少,然后防护的域名数是200个,,是不区分域名分级的,每增加一个节点,刚才提到两个节点,是1万的QPS,加一个节点,再加了QPS的基础上,还会加的域名防护数量,每增加一个节点会增加100个域名的防护。这就是阿里云WAF的这几个版本的一个介绍分享到这。

 

三、Web安全和防爬防护主要场景

图片16.png

接下来,来看Web安全和防爬防护的主要应用场景,这里可以看到的主要有三大场景,Web接口类场景,营销场景和恶意攻击的场景,首先说web接口场景,接口场景列出来叫登录注册投票验证码,短信,黄牛货等等这些,可以称为Web接口类场景,也就是正常的用户,登录的网站需要输入用户名密码,而黑客,或者说不法分子,通过的Web接口,也就是登录用户名密码,其实是登录的接口,获取到接口以后,不用人工的去登录用户名密码,直接给输入相应的参数就可以登录了比人手动输入效率要高,速度要快很多,这样一些秒杀,或者说一些这种需要用户投票等等场景下的话,要比正常人去登录等等效率要高得多,其实这就是对的网站造成了一定的危害,因为大量的这种登录刷上来以后,首先的网站有可能支撑不住,挂掉,还有就是有很多的用户并不是真正的用户,而是机器人用户,造成了很多虚假的一些信息,还有就是刚才提到了投票这种场景,恶意的刷票等等,都是通过这种接口来进行登录,因为效率高,因为这种不法分子也要也讲究的是的投票的一个效率,真的发动了几十万人投票,成本是很高的,但是几十万台虚拟的器去投票,可能就一台电脑就能搞定,可以做到利益最大化,所以对的网站来讲,瞬间有这大量的流量进来,对网站,对数据安全,都是一个危害,所以这是Web接口的场景。


营销场景,其实跟Web接口有相关联像投票注册登录这些,对于营销来讲会爬取一些信息,比如说广告信息,房产信息,恶意占座,活动的薅羊毛等等,就像的抢票一样,比方说某一个演唱会抢票黄牛就可以用这种,首先通过找到的外部接口,然后很多的虚拟用户去登录去购买的票,就是薅羊毛或者抢票,抢完票以后票都到手里了,然后高价卖出去,这就是对营销场景来讲也是一个危害


恶意攻击来讲有三大块短信炸弹,网站的暴力破解和恶意的爬虫,恶意爬虫说的就是这种强行的相关信息,比如说小说或视频网站,把小说或视频取下来,然后转到的网站里来,这种恶意的爬虫能盗取相关信息,短信炸弹说的内容,就是很多的的网站都有这种注册用户名,密码,还有手机号,短信炸弹就是填写手机号,发验证消息,掌握了很多的这种网站的情况下,比如说输入一个手机号,被攻击的用户,手机号给填进去以后,可能填了1万个网站,1000个网站,会瞬间收到这些网站给发的短信,这就是形成了一个短信炸弹,而黑客来讲,没有什成本,发短信是的真正的企业的业务发的短信,也就是花了一毛钱给客户发了一条验证短信,而客户受到了攻击,被攻击者受到了攻击,黑客就不正当的进行一些得利等等,网站的暴力破解,也就是将的网站进行一个比如说账号密码的一个频繁的试错,进行暴力的破解,这就是Web安全和防爬防护主要的一个应用场景。

图片17.png

从下面的三张图中,可以看到阿里云安全目前是亚太区WAF厂商的领导者。
阿里云的主动安全模型和基于学习的异常检测能力被2019年的智能报告评为了核心优势,同时,获得了全球四大权威机构报告的高度认可,实现了全球机构认可的大满贯。


爬虫机器对抗能力来说,也是全球唯一连续两年入围了这种权威向前报告的CNCT网络安全创新产品一等奖,FIT2019互联网安全创新大会年度技术创新变革奖,所以说阿里云安全,也是亚太安全的一个领导者。

相关文章
|
1月前
|
机器学习/深度学习 安全 大数据
揭秘!企业级大模型如何安全高效私有化部署?全面解析最佳实践,助你打造智能业务新引擎!
【10月更文挑战第24天】本文详细探讨了企业级大模型私有化部署的最佳实践,涵盖数据隐私与安全、定制化配置、部署流程、性能优化及安全措施。通过私有化部署,企业能够完全控制数据,确保敏感信息的安全,同时根据自身需求进行优化,提升计算性能和处理效率。示例代码展示了如何利用Python和TensorFlow进行文本分类任务的模型训练。
100 6
|
2月前
|
Java API 数据库
构建RESTful API已经成为现代Web开发的标准做法之一。Spring Boot框架因其简洁的配置、快速的启动特性及丰富的功能集而备受开发者青睐。
【10月更文挑战第11天】本文介绍如何使用Spring Boot构建在线图书管理系统的RESTful API。通过创建Spring Boot项目,定义`Book`实体类、`BookRepository`接口和`BookService`服务类,最后实现`BookController`控制器来处理HTTP请求,展示了从基础环境搭建到API测试的完整过程。
58 4
|
2月前
|
运维 监控 安全
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
132 3
|
2月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
159 3
|
1月前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
86 3
|
1月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
83 2
|
1月前
|
JSON JavaScript 前端开发
蓝桥杯web组赛题解析和杯赛技巧
本文作者是一位自学前端两年半的大一学生,在第十五届蓝桥杯Web组比赛中获得省一和国三。文章详细解析了比赛题纲,涵盖HTML、CSS、JavaScript、Echarts和Vue等技术要点,并分享了备赛技巧和比赛经验。作者强调了多写代码和解题思路的重要性,同时提供了省赛和国赛的具体流程及注意事项。希望对参赛者有所帮助。
76 3
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
63 1
|
1月前
|
机器学习/深度学习 人工智能 安全
TPAMI:安全强化学习方法、理论与应用综述,慕工大、同济、伯克利等深度解析
【10月更文挑战第27天】强化学习(RL)在实际应用中展现出巨大潜力,但其安全性问题日益凸显。为此,安全强化学习(SRL)应运而生。近日,来自慕尼黑工业大学、同济大学和加州大学伯克利分校的研究人员在《IEEE模式分析与机器智能汇刊》上发表了一篇综述论文,系统介绍了SRL的方法、理论和应用。SRL主要面临安全性定义模糊、探索与利用平衡以及鲁棒性与可靠性等挑战。研究人员提出了基于约束、基于风险和基于监督学习等多种方法来应对这些挑战。
63 2
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
93 4

推荐镜像

更多
下一篇
DataWorks