10分钟将您的Web应用接入防火墙

本文涉及的产品
轻量应用服务器 2vCPU 4GiB,适用于网站搭建
轻量应用服务器 2vCPU 4GiB,适用于搭建Web应用/小程序
轻量应用服务器 2vCPU 4GiB,适用于搭建容器环境
简介: 如果您现在拥有一个Web应用,并且有安全诉求,请阅读本文。

一 Web应用安全风险

Web应用对外提供服务的同时,也对攻击者提供了可以进入到内部服务器和数据库的入口,针对Web应用的常见攻击手法有SQL注入、跨站脚本(XSS)、webshell、越权、撞库、DDoS攻击等。按照相关合规要求,网络服务经营者应采取相应的手段,保障网站等服务基本的安全防护水位。


001.png

二 阿里云Web应用防火墙

简介

阿里云Web应用防火墙(Web Application Firewall,简称WAF)基于云安全大数据智能计算能力,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击,对网站或者App的业务流量进行恶意特征识别和防护,将正常、安全的流量回源到服务器。避免网站或App业务服务器遭恶意入侵,保障业务核心数据安全,并解决因恶意攻击导致的服务器性能异常问题。

独特优势

产品优势

优势说明

10年以上网络安全经验

  • 建立在阿里巴巴集团10年以上的网络安全经验上,提供与淘宝、天猫、支付宝等成功应用案例同样的安全体验。
  • 由专业的安全团队为您提供服务。
  • 抵御已知的OWASP漏洞并不断修复披露漏洞。

防御CC攻击和爬虫攻击

  • 帮助您抵御和减缓CC攻击。
  • 帮助您防御网络爬虫,避免网络资源消耗。
  • 检测和阻挡恶意请求,帮助您减少带宽消耗,防止数据库、SMS、API资源亏空,减少响应延时,避免宕机等。
  • 针对多样业务场景支持自定义防护规则。

集成大数据能力

  • 每天约抵御数亿次网络攻击。
  • 拥有丰富的IP数据库。
  • 拥有广泛的应用案例,对各类常见网络攻击的模式、方法和签名有大量研究。
  • 大数据分析不断整合先进的技术。

简易性、可靠性

  • 5分钟内部署和激活。
  • 无需安装任何软硬件或调整路由配置。
  • 通过防护集群的作用,避免单点故障和冗余。
  • 防护流量处理性能高。

补充一个防护数据。证明成熟度。

应用场景

阿里云Web应用防火墙适用于金融、电商、o2o、互联网+、游戏、政府、保险等行业各类网站或App业务的Web应用安全防护。


可以帮助用户解决以下业务应用安全问题:

  1. 防数据泄密:避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
  2. 防御恶意CC攻击:通过阻断海量的恶意请求,保障网站可用性。
  3. 阻止木马上传、网页篡改,保障网站的公信力。
  4. 提供虚拟补丁:针对网站被曝光的最新安全漏洞,最大可能地提供快速修复规则。

产品架构


002.png

三 如何接入WAF

场景一 将ECS实例接入WAF

WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体网络架构如下图所示:

ECS.png


使用限制

云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名

限制项类型

描述

支持的实例

同时满足:

  • 公网实例
  • 非IPv6版本实例
  • 实例未开启双向认证

操作步骤

阿里云提供WAF 3.0版实例的免费试用活动,如果您是WAF 3.0的新用户,您可以访问阿里云免费试用申请试用资格。如果没有免费试用资格,按照本文操作步骤在控制台创建实例。

  1. 登录Web应用防火墙3.0控制台。欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
  2. 在左侧导航栏,单击接入管理
  3. 选择云产品接入页签,在左侧云产品类型列表,选择ECS
  4. 根据页面提示,单击立即授权,完成云产品授权。
  5. 接入资产- ECS面板,完成如下配置。
    003.png
  6. 确认并选中要添加的实例后,单击确定
    完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述
    image.png
  7. 验证ECS是否成功接入WAF。
  1. 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
  2. 在域名后输入SQL恶意攻击代码验证防护效果,例如xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。
    image.png

相关文档

将ECS实例接入WAF


场景二 为SLB实例开启WAF防护

WAF通过SDK模块化的方式,与ALB原生架构集成,通过内嵌在网关中的SDK提取并检测流量。该过程中,WAF只进行业务监听,不再参与流量转发,实现防护与流量转发的完全分离,为您提供更高的安全运维效率、更流畅的交互体验。

ALB.png

使用限制

  • 云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名
  • 仅支持状态为运行中的基础版、标准版实例,升级为WAF增强版。
  • 接入WAF的ALB实例暂不支持如下功能:
  • 信息泄露防护
  • Bot管理网页防爬场景化防护中的自动集成Web SDK

操作步骤

  1. 登录Web应用防火墙3.0控制台。欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
  2. 在左侧导航栏,单击接入管理
  3. 选择云产品接入页签,在左侧云产品类型列表,选择ALB
  4. 根据页面提示,单击立即授权,完成云产品授权。完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。
    如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。
  5. 在应用型负载均衡ALB控制台,为ALB实例开启WAF防护。
  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。
  3. 在页面,找到目标实例,选择以下任意一种方式开启WAF防护。
  • 方式一:将鼠标悬停在目标实例名称后的 图标,然后在气泡框中单击Web应用安全防护区域的开启防护
  • 方式二:在操作列选择 > 变配功能版本
  • 方式三:单击目标实例ID,在页签,找到基本信息区域中的WAF安全防护,然后单击开启防护
  • 方式四:单击目标实例ID,在页签,单击安全防护页签。然后单击开启防护
  1. 应用型负载均衡(按量付费) | 变配页面,选择功能版本(实例费)WAF增强版,选中服务协议,单击立即购买并完成支付。
  1. 验证ALB是否成功接入WAF。
  1. 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
  2. 在域名后输入SQL恶意攻击代码验证防护效果,例如xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。

相关文档

为ALB实例开启WAF防护

将四层CLB(TCP)实例接入WAF

将七层CLB(HTTP/HTTPS)实例接入WAF

相关文章
|
5月前
|
前端开发 算法 API
构建高性能图像处理Web应用:Next.js与TailwindCSS实践
本文分享了构建在线图像黑白转换工具的技术实践,涵盖技术栈选择、架构设计与性能优化。项目采用Next.js提供优秀的SSR性能和SEO支持,TailwindCSS加速UI开发,WebAssembly实现高性能图像处理算法。通过渐进式处理、WebWorker隔离及内存管理等策略,解决大图像处理性能瓶颈,并确保跨浏览器兼容性和移动设备优化。实际应用案例展示了其即时处理、高质量输出和客户端隐私保护等特点。未来计划引入WebGPU加速、AI增强等功能,进一步提升用户体验。此技术栈为Web图像处理应用提供了高效可行的解决方案。
|
10天前
|
弹性计算 监控 网络安全
如何轻松使用AWS Web应用程序防火墙?
AWS WAF是Web应用防火墙,可防护常见网络攻击。通过创建Web ACL并设置规则,保护CloudFront、API网关、负载均衡器等资源。支持自定义规则与OWASP预定义规则集,结合CloudWatch实现监控日志,提升应用安全性和稳定性。
|
4月前
|
缓存 前端开发 应用服务中间件
Web端实时通信技术SSE在携程机票业务中的实践应用
本文介绍了携程机票前端基于Server-Sent Events(SSE)实现服务端推送的企业级全链路通用技术解决方案。文章深入探讨了 SSE 技术在应用过程中包括方案对比、技术选型、链路层优化以及实际效果等多维度的技术细节,为类似使用场景提供普适性参考和借鉴。该方案设计目标是实现通用性,适用于各种网络架构和业务场景。
95 1
|
5月前
|
缓存 前端开发 应用服务中间件
Web端实时通信技术SSE在携程机票业务中的实践应用
本文介绍了携程机票前端基于Server-Sent Events(SSE)实现服务端推送的企业级全链路通用技术解决方案。文章深入探讨了 SSE 技术在应用过程中包括方案对比、技术选型、链路层优化以及实际效果等多维度的技术细节,为类似使用场景提供普适性参考和借鉴。
130 7
|
7月前
|
云安全 数据采集 安全
阿里云热门云安全产品简介:Web应用防火墙与云防火墙产品各自作用介绍
在阿里云的安全类云产品中,Web应用防火墙与云防火墙是用户比较关注的两款安全产品,二者在作用上各有侧重,共同构成了阿里云强大的安全防护体系。本文将对Web应用防火墙与云防火墙产品各自的主要作用进行详细介绍。
|
8月前
|
中间件 关系型数据库 数据库
docker快速部署OS web中间件 数据库 编程应用
通过Docker,可以轻松地部署操作系统、Web中间件、数据库和编程应用。本文详细介绍了使用Docker部署这些组件的基本步骤和命令,展示了如何通过Docker Compose编排多容器应用。希望本文能帮助开发者更高效地使用Docker进行应用部署和管理。
203 19
|
9月前
|
Web App开发 编解码 vr&ar
使用Web浏览器访问UE应用的最佳实践
在3D/XR应用开发中,尤其是基于UE(虚幻引擎)开发的高精度场景,传统终端因硬件局限难以流畅运行高帧率、复杂效果的三维应用。实时云渲染技术,将渲染任务转移至云端服务器,降低终端硬件要求,确保用户获得流畅体验。具备弹性扩展、优化传输协议、跨平台支持和安全性等优势,适用于多种终端和场景,特别集成像素流送技术,帮助UE开发者实现低代码上云操作,简化部署流程,保留UE引擎的强大开发能力,确保画面精美且终端轻量化。
361 17
使用Web浏览器访问UE应用的最佳实践
|
10月前
|
Kubernetes 安全 Devops
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
256 10
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
|
10月前
|
弹性计算 Java 关系型数据库
Web应用上云经典架构实践教学
Web应用上云经典架构实践教学
174 2
Web应用上云经典架构实践教学
|
10月前
|
弹性计算 Java 数据库
Web应用上云经典架构实战
本课程详细介绍了Web应用上云的经典架构实战,涵盖前期准备、配置ALB、创建服务器组和监听、验证ECS公网能力、环境配置(JDK、Maven、Node、Git)、下载并运行若依框架、操作第二台ECS以及验证高可用性。通过具体步骤和命令,帮助学员快速掌握云上部署的全流程。
218 1