10分钟将您的Web应用接入防火墙

本文涉及的产品
无影云电脑企业版,4核8GB 120小时 1个月
无影云电脑个人版,1个月黄金款+200核时
资源编排,不限时长
简介: 如果您现在拥有一个Web应用,并且有安全诉求,请阅读本文。

一 Web应用安全风险

Web应用对外提供服务的同时,也对攻击者提供了可以进入到内部服务器和数据库的入口,针对Web应用的常见攻击手法有SQL注入、跨站脚本(XSS)、webshell、越权、撞库、DDoS攻击等。按照相关合规要求,网络服务经营者应采取相应的手段,保障网站等服务基本的安全防护水位。


001.png

二 阿里云Web应用防火墙

简介

阿里云Web应用防火墙(Web Application Firewall,简称WAF)基于云安全大数据智能计算能力,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击,对网站或者App的业务流量进行恶意特征识别和防护,将正常、安全的流量回源到服务器。避免网站或App业务服务器遭恶意入侵,保障业务核心数据安全,并解决因恶意攻击导致的服务器性能异常问题。

独特优势

产品优势

优势说明

10年以上网络安全经验

  • 建立在阿里巴巴集团10年以上的网络安全经验上,提供与淘宝、天猫、支付宝等成功应用案例同样的安全体验。
  • 由专业的安全团队为您提供服务。
  • 抵御已知的OWASP漏洞并不断修复披露漏洞。

防御CC攻击和爬虫攻击

  • 帮助您抵御和减缓CC攻击。
  • 帮助您防御网络爬虫,避免网络资源消耗。
  • 检测和阻挡恶意请求,帮助您减少带宽消耗,防止数据库、SMS、API资源亏空,减少响应延时,避免宕机等。
  • 针对多样业务场景支持自定义防护规则。

集成大数据能力

  • 每天约抵御数亿次网络攻击。
  • 拥有丰富的IP数据库。
  • 拥有广泛的应用案例,对各类常见网络攻击的模式、方法和签名有大量研究。
  • 大数据分析不断整合先进的技术。

简易性、可靠性

  • 5分钟内部署和激活。
  • 无需安装任何软硬件或调整路由配置。
  • 通过防护集群的作用,避免单点故障和冗余。
  • 防护流量处理性能高。

补充一个防护数据。证明成熟度。

应用场景

阿里云Web应用防火墙适用于金融、电商、o2o、互联网+、游戏、政府、保险等行业各类网站或App业务的Web应用安全防护。


可以帮助用户解决以下业务应用安全问题:

  1. 防数据泄密:避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
  2. 防御恶意CC攻击:通过阻断海量的恶意请求,保障网站可用性。
  3. 阻止木马上传、网页篡改,保障网站的公信力。
  4. 提供虚拟补丁:针对网站被曝光的最新安全漏洞,最大可能地提供快速修复规则。

产品架构


002.png

三 如何接入WAF

场景一 将ECS实例接入WAF

WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体网络架构如下图所示:

ECS.png


使用限制

云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名

限制项类型

描述

支持的实例

同时满足:

  • 公网实例
  • 非IPv6版本实例
  • 实例未开启双向认证

操作步骤

阿里云提供WAF 3.0版实例的免费试用活动,如果您是WAF 3.0的新用户,您可以访问阿里云免费试用申请试用资格。如果没有免费试用资格,按照本文操作步骤在控制台创建实例。

  1. 登录Web应用防火墙3.0控制台。欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
  2. 在左侧导航栏,单击接入管理
  3. 选择云产品接入页签,在左侧云产品类型列表,选择ECS
  4. 根据页面提示,单击立即授权,完成云产品授权。
  5. 接入资产- ECS面板,完成如下配置。
    003.png
  6. 确认并选中要添加的实例后,单击确定
    完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述
    image.png
  7. 验证ECS是否成功接入WAF。
  1. 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
  2. 在域名后输入SQL恶意攻击代码验证防护效果,例如xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。
    image.png

相关文档

将ECS实例接入WAF


场景二 为SLB实例开启WAF防护

WAF通过SDK模块化的方式,与ALB原生架构集成,通过内嵌在网关中的SDK提取并检测流量。该过程中,WAF只进行业务监听,不再参与流量转发,实现防护与流量转发的完全分离,为您提供更高的安全运维效率、更流畅的交互体验。

ALB.png

使用限制

  • 云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名
  • 仅支持状态为运行中的基础版、标准版实例,升级为WAF增强版。
  • 接入WAF的ALB实例暂不支持如下功能:
  • 信息泄露防护
  • Bot管理网页防爬场景化防护中的自动集成Web SDK

操作步骤

  1. 登录Web应用防火墙3.0控制台。欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
  2. 在左侧导航栏,单击接入管理
  3. 选择云产品接入页签,在左侧云产品类型列表,选择ALB
  4. 根据页面提示,单击立即授权,完成云产品授权。完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。
    如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。
  5. 在应用型负载均衡ALB控制台,为ALB实例开启WAF防护。
  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。
  3. 在页面,找到目标实例,选择以下任意一种方式开启WAF防护。
  • 方式一:将鼠标悬停在目标实例名称后的 图标,然后在气泡框中单击Web应用安全防护区域的开启防护
  • 方式二:在操作列选择 > 变配功能版本
  • 方式三:单击目标实例ID,在页签,找到基本信息区域中的WAF安全防护,然后单击开启防护
  • 方式四:单击目标实例ID,在页签,单击安全防护页签。然后单击开启防护
  1. 应用型负载均衡(按量付费) | 变配页面,选择功能版本(实例费)WAF增强版,选中服务协议,单击立即购买并完成支付。
  1. 验证ALB是否成功接入WAF。
  1. 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
  2. 在域名后输入SQL恶意攻击代码验证防护效果,例如xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。

相关文档

为ALB实例开启WAF防护

将四层CLB(TCP)实例接入WAF

将七层CLB(HTTP/HTTPS)实例接入WAF

相关文章
|
27天前
|
前端开发 JavaScript 安全
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第27天】本文介绍了HTTP/2和HTTPS在前端性能调优中的应用。通过多路复用、服务器推送和头部压缩等特性,HTTP/2显著提升了Web性能。同时,HTTPS确保了数据传输的安全性。文章提供了示例代码,展示了如何使用Node.js创建一个HTTP/2服务器。
44 3
|
1月前
|
移动开发 开发者 HTML5
构建响应式Web界面:Flexbox与Grid的实战应用
【10月更文挑战第22天】随着互联网的普及,用户对Web界面的要求越来越高,不仅需要美观,还要具备良好的响应性和兼容性。为了满足这些需求,Web开发者需要掌握一些高级的布局技术。Flexbox和Grid是现代Web布局的两大法宝,它们分别由CSS3和HTML5引入,能够帮助开发者构建出更加灵活和易于维护的响应式Web界面。本文将深入探讨Flexbox和Grid的实战应用,并通过具体实例来展示它们在构建响应式Web界面中的强大能力。
38 3
|
2月前
|
存储 安全 关系型数据库
后端技术:构建高效稳定的现代Web应用
【10月更文挑战第5天】后端技术:构建高效稳定的现代Web应用
65 1
|
5天前
|
前端开发 JavaScript UED
在数字化时代,Web 应用性能优化尤为重要。本文探讨了CSS与HTML在提升Web性能中的关键作用及未来趋势
在数字化时代,Web 应用性能优化尤为重要。本文探讨了CSS与HTML在提升Web性能中的关键作用及未来趋势,包括样式表优化、DOM操作减少、图像优化等技术,并分析了电商网站的具体案例,强调了技术演进对Web性能的深远影响。
15 5
|
15天前
|
缓存 安全 网络安全
HTTP/2与HTTPS在Web加速中的应用
HTTP/2与HTTPS在Web加速中的应用
|
17天前
|
SQL 安全 前端开发
PHP与现代Web开发:构建高效的网络应用
【10月更文挑战第37天】在数字化时代,PHP作为一门强大的服务器端脚本语言,持续影响着Web开发的面貌。本文将深入探讨PHP在现代Web开发中的角色,包括其核心优势、面临的挑战以及如何利用PHP构建高效、安全的网络应用。通过具体代码示例和最佳实践的分享,旨在为开发者提供实用指南,帮助他们在不断变化的技术环境中保持竞争力。
|
28天前
|
前端开发 安全 应用服务中间件
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第26天】随着互联网的快速发展,前端性能调优成为开发者的重要任务。本文探讨了HTTP/2与HTTPS在前端性能优化中的应用,介绍了二进制分帧、多路复用和服务器推送等特性,并通过Nginx配置示例展示了如何启用HTTP/2和HTTPS,以提升Web应用的性能和安全性。
27 3
|
28天前
|
前端开发 JavaScript API
前端框架新探索:Svelte在构建高性能Web应用中的优势
【10月更文挑战第26天】近年来,前端技术飞速发展,Svelte凭借独特的编译时优化和简洁的API设计,成为构建高性能Web应用的优选。本文介绍Svelte的特点和优势,包括编译而非虚拟DOM、组件化开发、状态管理及响应式更新机制,并通过示例代码展示其使用方法。
41 2
|
28天前
|
测试技术 持续交付 PHP
PHP在Web开发中的应用与最佳实践###
【10月更文挑战第25天】 本文将深入探讨PHP在现代Web开发中的应用及其优势,并分享一些最佳实践来帮助开发者更有效地使用PHP。无论是初学者还是有经验的开发者,都能从中受益。 ###
58 1
|
29天前
|
负载均衡 监控 算法
论负载均衡技术在Web系统中的应用
【11月更文挑战第4天】在当今高并发的互联网环境中,负载均衡技术已经成为提升Web系统性能不可或缺的一环。通过有效地将请求分发到多个服务器上,负载均衡不仅能够提高系统的响应速度和处理能力,还能增强系统的可扩展性和稳定性。本文将结合我参与的一个实际软件项目,从项目概述、负载均衡算法原理以及实际应用三个方面,深入探讨负载均衡技术在Web系统中的应用。
51 2