什麼是WEB應用防火牆和DDOS高防IP？

WEB應用防火牆顧名思義就是解決WEB應用防護問題的專屬服務，今天的WEB應用已不僅限于網站門戶，APP服務接口、業務系統之間的互相調用、資料共享服務都在大量的使用WEB通道，當下絕大部分的系統互動都發生在WEB應用服務之上，可以說沒有WEB就沒有今天的網際網路和移動網際網路，在結合現在的資訊安全形勢，不管需不需要過“等保”，WEB應用防火牆都是居家旅行的必備服務。

DDOS高防防禦的則是資訊安全領域的第一頑疾：DDOS攻擊，DDOS攻擊翻譯過來就是分布式拒絕服務攻擊，就是攻擊者利用技術手段調集大量的攻擊資源同時對受害者的網絡服務進行阻塞以阻止其正常對外提供服務。目前DDOS攻擊和防護所需的成本還處于不對等狀态，防禦者通常需要消耗幾十、上百倍的成本方可成功的防禦DDOS攻擊。正是因為這個原因，DDOS高防IP出現在使用者購物車裡的頻率可能是所有安全服務裡最低的，不過随着anycast技術的出現很可能會扭轉這一狀況，另外等級保護相關要求中也有對網絡關鍵位置進行防護的相關要求，是以DDOS 高防IP在雲上等保系統中也有一席之地。

WEB應用防火牆和DDOS高防IP經常一起出現在WEB應用系統的防護解決方案中，今天就讓我們來聊聊阿裡雲WEB應用防火牆和DDOS高防IP的部署吧。

申請阿裡雲服務時，可以使用

2000元阿裡雲代金券

，阿裡雲官網領取網址：

https://dashi.aliyun.com/site/yun/youhui

第一個要點，部署模式選擇

WEB應用防火牆和DDOS高防IP都有兩種部署模式。

DDOS高防IP支援網站接入和端口接入：

網站接入、一般面向網站提供接入防護，使用CNAME位址重定向方式接入。

端口接入、一般面向遊戲應用，使用端口映射的方式接入。

阿裡雲伺服器1核2G低至82元/年

，阿裡雲官活動網址：

https://dashi.aliyun.com/site/yun/aliyun

可以用20代金券，即102-20=82。

WEB應用防火牆的接入方式包括：

CNAME接入、同DDOS的網站接入，使用CNAME位址重定向接入。

透明接入、在部分地域支援透明接入，伺服器在這些地域的情況下可以選擇透明接入，但透明接入和CNAMEAccess模式不能共存，隻能選擇一種。

假如要保護的對象是WEB應用，建議都使用CNAMEAccess模式。

DDOS高防IP使用端口方式接入WEB應用無法使用80端口，而且一個端口隻能映射一個應用，無法通過域名進行區分複用。WEB應用防火牆假如使用透明模式則隻能保護本賬号及本地域下的伺服器，而WEB應用防火牆和DDOS高防IP通過CNAME接入時不僅支援對部署在阿裡雲上的應用進行保護，還支援對部署在雲下的應用進行防護。

CNAME接入：就是在DNS裡将原來系統的域名從A記錄修改為CNAME記錄，記錄值從IP位址修改為一個阿裡雲智能DNS提供的CNAME位址串，通過這個CNAME位址串，阿裡雲智能DNS就可以将使用者對域名的請求重新排程到提供相關安全服務的位址上去。

看到這裡有人可能會耽心：假如DDOS攻擊者去攻擊阿裡雲的智能DNS，豈不把所有的服務都幹趴下？打這個主意的應該不少，但都想多了。對于這一點，大家盡可放心，因為阿裡雲的智能DNS服務使用的是anycast的抗DDOS方案，又有充足的帶寬和阿裡雲的安全運維團隊的保駕護航。

第二個要點，拓撲結構

這個沒有什麼“假如”，一定要把DDOS高防IP部署在WEB應用防火牆之前，否則DDOS高防IP就白買了。

WEB應用防火牆主要的功能是防禦WEB應用層攻擊，當遇到DDOS攻擊時WEB應用防火牆也會被打到無法繼續提供服務，DDOS高防IP必須部署在WEB應用防火牆之前才能夠有效的攔截DDOS攻擊。


第三個要點，部署順序

假如是對一個正在運作中的系統進行防護，建議先從DDOS高防IP開始部署。

先配置DDOS高防IP隻需要修改一次DNS記錄：

完成DDOS高防IP的配置，源站位址填伺服器的外網IP，配置完成後将獲得DDOS高防的接入CNAME位址串。

修改DNS記錄為DDOS高防IP的CNAME記錄，實作DDOS高防IP接入。

完成WEB應用防火牆的配置，WEB應用防火牆的源站同樣也是伺服器的外網IP，獲得WEB應用防火牆的接入CNAME位址串。

修改DDOS高防的源站伺服器位址，将伺服器的IP位址替換為WEB應用防火牆的CNAME位址，進而實作WEB應用防火牆接入。

假如先配置WEB應用防火牆就需要修改兩次DNS記錄：

完成WEB應用防火牆的配置，源站填伺服器外網IP，獲得WEB應用防火牆的接入CNAME位址串。

将DNS記錄修改為WEB應用防火牆的CNAME記錄以驗證WEB應用防火牆是否正常工作。

完成DDOS高防IP的配置，後端伺服器位址填寫為WEB應用防火牆的CNAME記錄，但此時的DNS記錄依然指向的是WEB應用防火牆，是以還需要再修改一次DNS記錄。

将DNS記錄修改為DDOS高防IP的CNAME記錄驗證DDOS高防IP和WEB應用防火牆的工作是否正常。

DNS服務有緩存和過期機制，預設的TTL過期時間一般都是10分鐘，這樣在兩次修改期間假如出現服務異常要切換回原來的位址一般都需要10分鐘左右，再加上有部分的DNS緩存伺服器不遵守TTL設定，回切的時間将會更長。

是以在對線上應用服務部署WEB應用防火牆和DDOS高防IP時，建議先部署DDOS 高防IP。

第四個要點，CC攻擊的防禦

這個也沒有什麼“假如”，在同時部署DDOS高防IP和WEB應用防火牆的情況下，優先使用WEB應用防火牆的CC攻擊防禦能力。

CC攻擊是一種通過大量消耗應用伺服器CPU、記憶體、磁盤處理能力的方式來讓應用服務無法正常對外服務的一種攻擊方式。

為什麼？CC攻擊的名字就說明一切了，CC攻擊全稱Challenge Collapsar，意思是挑戰黑洞，黑洞是當年國内一個安全廠商推出的抗DDOS産品，在當時的公開測試時有攻擊者使用了CC攻擊，CC攻擊成功的繞過了黑洞的防禦機制而讓背景業務應用無法繼續提供服務。

第五個要點，為網站接入預留端口

DDOS的端口映射模式不能使用80/443端口，但可以使用8080/8443，而我的建議是盡量不要在端口模式下使用這兩個端口。

因為在和WEB應用防火牆配合使用時可以通過網站接入的方式來使用8080/8443 端口，但前提是8080/8443端口沒有被映射使用。

第六個要點，網站遷移保護期

當把網站在兩個WEB應用防火牆執行個體之間遷移時，出于維護叢集穩定性的考慮，不能直接将網站從一個執行個體删除後直接加入到另一個執行個體，在添加執行個體時會收到有關域名在若幹時間的保護期後才能加入的資訊，針對這種情況有如下建議：

選一個業務維護視窗進行遷移，在遷移期間不提供服務。

可以通過工單和服務群申請解除保護期，在保護期被解除後就可以在另一個WEB應用防火牆執行個體添加網站域名。

在切換期間将請求通過DNS接回源站，并祈求老天保佑這個時間不會有人來攻擊。

在切換期間将請求通過DNS接回源站，在源站将請求重定向到另一個臨時域名，并将該域名接入WEB應用防火牆進行防護。這裡必須使用顯式的HTTP重定向，而不能使用CNAME。