普及云WAF防护刻不容缓

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 从国家互联网应急中心发布的《中国互联网网络安全报告》可以看出:我国网站安全态势还是很严峻的,特别是网站被植入后门、网页篡改和网站挂马等安全问题,本文给出了解决方案,值得一读!

笔者从公司官网上线启用云WAF服务充分体会到了云WAF防护的重要性,所以很朴素的想到所有网站都需要云WAF防护。所以,笔者查阅了 国家互联网应急中心 (CNCERT)发布的2020年《中国互联网网络安全报告》(2021年报告还没有出)和2022年4月26日第17期周报,从这两份报告可以看出我国的网站安全态势还是非常严峻的,有些数据触目惊心,本文就给大家解读分析这两个报告中的数据,并提出改进我国网站安全态势的对策与建议。

protection_02.jpg

CNCERT的报告中关于网站安全这块分3部分:网页仿冒、网站后门和网页篡改,本文只讲后两部分,网页仿冒这块放在另一篇博文再讲。还是先看看2020年的统计数据,2020年,CNCERT共监测到我国境内 53,171 个(5万多)网站被植入后门,其中政府网站有256个,这个数据非常惊人,因为政府网站含有大量的个人和企业机密数据。网站后门是黑客成功入侵网站服务器后留下的后门程序。通过在网站的特定目录中上传远程控制页面,黑客可以暗中对网站服务器进行远程控制,上传、查看、修改、删除网站服务器上的文件,读取并修改网站数据库的数据,甚至可以直接在网站服务器上运行系统命令,把网站作为发起DDOS攻击的“肉鸡”。为何网站能被植入后门,当然是因为网站没有安全防护。

再看看网页篡改的数据,2020年,我国境内被篡改的网站数量为 100,484 个(10万多),其中政府网站有494个。网页篡改是指恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。从篡改攻击的手段来看,我国被篡改的网站中以植入暗链的方式被攻击的超过50%。为何网页能被篡改,当然还是因为网站没有安全防护。

再看看挂马数据,2020年,利用木马或僵尸程序控制服务器对主机进行控制的事件中,控制服务器IP地址总数为 65,865 个(6万多)。这些挂马的服务器不仅服务器数据会被窃取,而且都可以被利用来发起各种攻击。为何服务器能被挂马,当然还是因为网站没有安全防护。

以上是2020年一年的数据,我们再看看今年4月份的一周数据,CNCERT监测发现境内被篡改网站数量3611个;被植入后门的网站数量为738个。其中被篡改的政府网站有17个,被植入后门的政府网站有12个。可以看出:网站后门量有所下降,但网页篡改量比2020年周平均量几乎翻了一倍,两年后的今天形势不但没有好转,而且还更加严峻,并且仍然有不少政府网站被植入后门和网页被篡改。

大家应该从这些数据中可以看出我国网站安全的态势是不容乐观的,可以说是非常严峻的,这些安全问题的根本解决思路只有一个:为所有网站启用云WAF防护,因为99%的网站主都像我公司一样自己并不具备网站安全防护能力。对于政府网站,启用云WAF防护,不仅可以保障政府网站安全,而且还能满足等保要求。

所以,为了保障我公司官网上线后的安全,我们同步上线阿里云WAF防护,取得了令人满意的效果。这才使得我们决定我们的网站安全云服务基于阿里云WAF来实现,因为我们认为所有网站都需要云WAF防护,有了云WAF防护,上面发生的各种网站安全问题统统一键解决,只需一键设置CNAME解析,把原网站变成云WAF的源网站即可即刻开启网站安全防护,从此不再有被植入后门,网页不再被篡改,服务器也不再被挂马,不再被SQL注入攻击,不再有跨站攻击,不再遭遇CC攻击,不再遭遇恶意扫描,不再担心漏洞攻击等等,各种网站安全问题都彻底解决,这些防护是由国内唯一获得Web应用防火墙大满贯(Gartner、Forrester、IDC、Frost & Sullivan)的阿里云 WAF提供的,有力保障365天网站安全无忧,用户可以放心地专心做好自己的业务。

waf_protection.jpg

云WAF防护效果这么好,当然价格也不便宜。零信技术使用的是阿里云WAF独享版,一年好几十万元,我们在防护性能卓越的阿里云WAF系统基础上实现了SSL证书的全自动配置,并共享这个优质云资源,可以为用户提供一站式https加密、云WAF防护和可信认证三位一体的网站安全服务,并且是以用户能承担得起的固定年费提供三项网站安全可信服务,让高大上的WAF防护和https加密以一个大众化的价格使得所有网站都不再有安全问题,不再担心明文传输会泄露机密信息,不再烦恼所有浏览器都显示网站为“不安全”,不再担心网站会被攻击,365天网站安全无忧,放心地专心做好自己的业务。

zt_waf.jpg

零信网站安全云服务,一个全球顶级品牌SSL证书加顶级云WAF防护的包年收费服务,集成全自动https加密(无需用户申请SSL证书)、全自动云WAF防护(无需用户做任何配置)和赠送网站可信认证服务,绝对是超值服务!零信网站安全云服务,让天下所有网站都安全!让CNCERT的下一年安全报告中的网站安全事件数据清零!

相关文章
|
存储 安全 网络协议
绕过WAF和多个防护软件提权案例
绕过WAF和多个防护软件提权案例
184 0
|
1月前
|
域名解析 弹性计算 负载均衡
通过联合部署DDoS高防和WAF提升网站防护能力
通过联合部署DDoS高防和WAF提升网站防护能力
|
5月前
|
存储 负载均衡 应用服务中间件
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
|
SQL 监控 Cloud Native
基于云原生网关插件实现WAF防护能力
一起体验云原生网关开箱即用,支持热插拔的WAF防护能力,同时您将掌握云原生网关上的插件使用方式
|
SQL 安全 算法
Web 应用防火墙 -- 规则防护
4.4.2 白名单加白 基于请求特征对误报流量加白, 加白后的流量会被 WAF bypass,从而解决误报问题。
133 0
|
数据采集 安全 搜索推荐
阿里云web应用防火墙是什么?主要防护内容有哪些?
本文主要介绍了阿里云web应用防火墙是什么?是否安全及主要防护内容有哪些
1104 1
阿里云web应用防火墙是什么?主要防护内容有哪些?
|
数据采集 安全 大数据
未来2年,70%用户将选择云WAF防护
WAF就是Web应用防火墙,那WAAP又是什么?为何 Gartner发布的2021年WAF魔力象限预测:到2024年,70%的组织将青睐云WAAP服务?本文有解读,笔者坚信这个比例一定是90%以上!
434 0
未来2年,70%用户将选择云WAF防护
|
运维 供应链 安全
解决方案应用实例 |WAF护航+专属钉钉,百丽国际系统防护、管理升级两不误
通过阿里云WAF进行安全防护, 对站点的DNS解析过程进行调整,保障对外提供服务的业务系统安全性;通过专属钉钉,实现从总部到地区到终端门店,跨区域、跨组织、跨层级的信息协同,沟通效率大大提高。
350 0
解决方案应用实例 |WAF护航+专属钉钉,百丽国际系统防护、管理升级两不误