开发者社区> anxin> 正文

云上等保部署要点——WEB应用防火墙和DDOS高防IP

简介: DDOS高防IP和WEB应用防火墙的部署要点。
+关注继续查看

问:把大象放冰箱统共分几步?
——小品《钟点工》

WEB应用防火墙顾名思义就是解决WEB应用防护问题的专属服务,今天的WEB应用已不仅限于网站门户,APP服务接口、业务系统之间的相互调用、数据共享服务都在大量的使用WEB通道,当下绝大部分的系统交互都发生在WEB应用服务之上,可以说没有WEB就没有今天的互联网和移动互联网,在结合现在的信息安全形势,不管需不需要过“等保”,WEB应用防火墙都是居家旅行的必备服务。

DDOS高防防御的则是信息安全领域的第一顽疾:DDOS攻击,DDOS攻击翻译过来就是分布式拒绝服务攻击,就是攻击者利用技术手段调集大量的攻击资源同时对受害者的网络服务进行阻塞以阻止其正常对外提供服务。目前DDOS攻击和防护所需的成本还处于不对等状态,防御者通常需要消耗几十、上百倍的成本方可成功的防御DDOS攻击。正是因为这个原因,DDOS高防IP出现在用户购物车里的频率可能是所有安全服务里最低的,不过随着anycast技术的出现很可能会扭转这一状况,另外等级保护相关要求中也有对网络关键位置进行防护的相关要求,所以DDOS 高防IP在云上等保系统中也有一席之地。

WEB应用防火墙和DDOS高防IP经常一起出现在WEB应用系统的防护解决方案中,今天就让我们来聊聊阿里云WEB应用防火墙和DDOS高防IP的部署吧。

第一个要点,部署模式选择
WEB应用防火墙和DDOS高防IP都有两种部署模式。
DDOS高防IP支持网站接入和端口接入:

  • 网站接入、一般面向网站提供接入防护,使用CNAME地址重定向方式接入。
  • 端口接入、一般面向游戏应用,使用端口映射的方式接入。

WEB应用防火墙的接入方式包括:

  • CNAME接入、同DDOS的网站接入,使用CNAME地址重定向接入。
  • 透明接入、在部分地域支持透明接入,服务器在这些地域的情况下可以选择透明接入,但透明接入和CNAME接入模式不能共存,只能选择一种。

假如要保护的对象是WEB应用,建议都使用CNAME接入模式
DDOS高防IP使用端口方式接入WEB应用无法使用80端口,而且一个端口只能映射一个应用,无法通过域名进行区分复用。WEB应用防火墙假如使用透明模式则只能保护本账号及本地域下的服务器,而WEB应用防火墙和DDOS高防IP通过CNAME接入时不仅支持对部署在阿里云上的应用进行保护,还支持对部署在云下的应用进行防护。

CNAME接入:就是在DNS里将原来系统的域名从A记录修改为CNAME记录,记录值从IP地址修改为一个阿里云智能DNS提供的CNAME地址串,通过这个CNAME地址串,阿里云智能DNS就可以将用户对域名的请求重新调度到提供相关安全服务的地址上去。

看到这里有人可能会耽心:假如DDOS攻击者去攻击阿里云的智能DNS,岂不把所有的服务都干趴下?打这个主意的应该不少,但都想多了。对于这一点,大家尽可放心,因为阿里云的智能DNS服务使用的是anycast的抗DDOS方案,又有充足的带宽和阿里云的安全运维团队的保驾护航。

第二个要点,拓扑结构
这个没有什么“假如”,一定要把DDOS高防IP部署在WEB应用防火墙之前,否则DDOS高防IP就白买了。

WEB应用防火墙主要的功能是防御WEB应用层攻击,当遇到DDOS攻击时WEB应用防火墙也会被打到无法继续提供服务,DDOS高防IP必须部署在WEB应用防火墙之前才能够有效的拦截DDOS攻击。

第三个要点,部署顺序
假如是对一个正在运行中的系统进行防护,建议先从DDOS高防IP开始部署

先配置DDOS高防IP只需要修改一次DNS记录

  1. 完成DDOS高防IP的配置,源站地址填服务器的外网IP,配置完成后将获得DDOS高防的接入CNAME地址串。
  2. 修改DNS记录为DDOS高防IP的CNAME记录,实现DDOS高防IP接入。
  3. 完成WEB应用防火墙的配置,WEB应用防火墙的源站同样也是服务器的外网IP,获得WEB应用防火墙的接入CNAME地址串。
  4. 修改DDOS高防的源站服务器地址,将服务器的IP地址替换为WEB应用防火墙的CNAME地址,从而实现WEB应用防火墙接入。

假如先配置WEB应用防火墙就需要修改两次DNS记录

  1. 完成WEB应用防火墙的配置,源站填服务器外网IP,获得WEB应用防火墙的接入CNAME地址串。
  2. 将DNS记录修改为WEB应用防火墙的CNAME记录以验证WEB应用防火墙是否正常工作。
  3. 完成DDOS高防IP的配置,后端服务器地址填写为WEB应用防火墙的CNAME记录,但此时的DNS记录依然指向的是WEB应用防火墙,因此还需要再修改一次DNS记录。
  4. 将DNS记录修改为DDOS高防IP的CNAME记录验证DDOS高防IP和WEB应用防火墙的工作是否正常。

DNS服务有缓存和过期机制,默认的TTL过期时间一般都是10分钟,这样在两次修改期间假如出现服务异常要切换回原来的地址一般都需要10分钟左右,再加上有部分的DNS缓存服务器不遵守TTL设定,回切的时间将会更长。

因此在对在线应用服务部署WEB应用防火墙和DDOS高防IP时,建议先部署DDOS 高防IP。

第四个要点,CC攻击的防御
这个也没有什么“假如”,在同时部署DDOS高防IP和WEB应用防火墙的情况下,优先使用WEB应用防火墙的CC攻击防御能力。

CC攻击是一种通过大量消耗应用服务器CPU、内存、磁盘处理能力的方式来让应用服务无法正常对外服务的一种攻击方式。

为什么?CC攻击的名字就说明一切了,CC攻击全称Challenge Collapsar,意思是挑战黑洞,黑洞是当年国内一个安全厂商推出的抗DDOS产品,在当时的公开测试时有攻击者使用了CC攻击,CC攻击成功的绕过了黑洞的防御机制而让后台业务应用无法继续提供服务。

第五个要点,为网站接入预留端口
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建议是尽量不要在端口模式下使用这两个端口。
因为在和WEB应用防火墙配合使用时可以通过网站接入的方式来使用8080/8443 端口,但前提是8080/8443端口没有被映射使用。

第六个要点,网站迁移保护期
当把网站在两个WEB应用防火墙实例之间迁移时,出于维护集群稳定性的考虑,不能直接将网站从一个实例删除后直接加入到另一个实例,在添加实例时会收到有关域名在若干时间的保护期后才能加入的信息,针对这种情况有如下建议:

  • 选一个业务维护窗口进行迁移,在迁移期间不提供服务。
  • 可以通过工单和服务群申请解除保护期,在保护期被解除后就可以在另一个WEB应用防火墙实例添加网站域名。
  • 在切换期间将请求通过DNS接回源站,并祈求老天保佑这个时间不会有人来攻击。
  • 在切换期间将请求通过DNS接回源站,在源站将请求重定向到另一个临时域名,并将该域名接入WEB应用防火墙进行防护。这里必须使用显式的HTTP重定向,而不能使用CNAME。

以上,就是我能想到的一些DDOS高防IP和WEB应用防火墙的部署要点,希望对大家有用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
68 0
阿里云DDoS高防国内和国际简介和购买流程
如果你上线比较大型的互联网项目或者游戏,常常会被同行恶意寻找第三方团队攻击,这个时候你就要保护你的服务器的IP不会被攻击,导致IP瘫痪,导致你的项目访问不了,就需要用到阿里云DDOS高防IP。 使用DDoS高防(新BGP)或DDoS高防(国际)服务过程中的具体功能点差异,并非作为您选择服务的依据。一般情况下建议您为部署在中国内地地域的业务开通DDoS高防(新BGP)服务,为部署在中国内地以外地域的业务开通DDoS高防(国际)服务。下图是两则的区别
54 0
高防IP是怎么防御DDOS攻击的?
如果网络攻击者要对目标发起恶意攻击,是先需要知道目标的具体IP地址,在获取了目标的具体IP后,针对这个IP,就会发起攻击,使用大量无效流量数据向该服务器提交请求,从而导致服务器资源耗尽,无法对正确的请求做出响应。与此同时,大量的无效数据还会占用服务器的带宽资源,造成业务卡顿甚至瘫痪。而DDoS高防IP原理是,就是在DDoS遭遇恶意攻击流量时,接入高防IP进行清洗再回源到服务器,确保源站的稳定正常运行。
102 0
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
114 0
什么是高防服务器?如何搭建DDOS流量攻击防护系统
关于高防服务器的使用以及需求,从以往的联众棋牌到目前发展迅猛的手机APP棋牌,越来越多的游戏行业都在使用高防服务器系统,从2018年1月到11月,国内棋牌运营公司发展到了几百家。
254 0
DDoS防御选高防IP还是高防CDN?
DDoS攻击是一种主要使用带宽消耗作为攻击特征的网络攻击。攻击者通常很难独立防守。必须寻求第三方DDoS保护服务以协助防御。目前市场上有两种主要的保护方案,一种是基于CDN的DDoS防御,称为高抗CDN保护方案,另一种是基于大带宽和DDoS大DDoS清除能力的高防御节点。防御,简称高防IP。保护计划。在本文中,制墨商的安全性将详细分析和比较这两种方案的保护功能。
1563 0
+关注
anxin
阿里云辽宁授权服务中心大连奥远电子股份有限公司技术总监、阿里云ACE认证架构师、阿里云MVP。
文章
问答
来源圈子
更多
阿里云最有价值专家,简称 MVP(Most Valuable Professional),是专注于帮助他人充分了解和使用阿里云技术的意见领袖阿里云 MVP 奖项为我们提供了这样一个机会,向杰出的意见领袖表示感谢,更希望通过 MVP 将开发者的声音反映到我们的技术路线图上。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
阿里云 Web应用防火墙
立即下载
《2019年DDoS攻击态势报告》
立即下载
云盾-Web应用防火墙(WAF)用户接入手册
立即下载