“乃使蒙恬北築長城而守藩籬,卻匈奴七百餘裡。”古有秦始皇派大将蒙恬利用地形優勢,設定要塞,搭建起萬裡長城,有效遏制匈奴南進威脅。
設想一下,如今面向網際網路提供通路的網站業務,沒有任何要塞、屏障,就宛若置身于一片空曠浩瀚的平原之上,必然成為黑客進攻的目标。
華為雲Web應用防火牆(Web Application Firewall,WAF)是作為保護網站等Web安全的一道屏障,在日常業務防護、重保等各場景均發揮着重要作用。華為雲WAF如何高效助力企業搭建網站安全的一道屏障?接下來從日常業務防護、重保等場景為大家詳細道來:
場景一:日常多賬号、企業項目的政策統一管理,全局 搭配 零備援
除了IP位址組功能,WAF還支援政策共享,即之前建立完成的政策可以一鍵共享給适用此政策的其他企業項目或其他賬号,政策一旦修改,接收共享此政策的其他企業項目、其他賬号都會同步生效,極大提升日常防護與特殊時期的營運、運維效率。
場景二:重保場景之“1 0 萬級”IP黑名單攔截
國内某大型車企客戶,深度使用雲WAF專業版,接入域名數量逾300個。客戶的乘用車系統要進行等保三級測評,此外還要參加各種等級的對抗,在針對Web安全的七層防護領域,華為雲WAF的幾大功能如安全政策搭配Web基礎防護、IP黑白名單、地理位置通路控制,以及基于特征庫的網站反爬蟲發揮了不可替代的作用。
在Web防護領域,IP黑名單攔截在防禦期間使用得非常普遍。WAF具備IP黑白名單功能,在實戰演練中能對進攻來源進行高效的封堵。同時,WAF支援搭配IP位址組,IP位址組集中高效管理IP位址或網段,且面向同一賬号下的所有防護規則開放,支援多賬号間共享引用,進而實作“以一敵百”的防禦效果。
IP黑白名單功能總結如下:
· 單使用者支援10萬等級IP位址搭配
· 支援搭配IP位址組
場景 三:精細化營運、運維場景之“精準化抗CC進攻”
針對不同的業務場景、業務屬性,WAF支援精準通路防護搭配,支援對HTTP首部、Cookie、Referer、請求參數或用戶端IP等字段進行條件組合,定制化防護政策,可有效應對不同場景下的防護要求,為網站帶來更精準的防護。
在今年的阻擋對抗過程中,華為雲WAF、MDR團隊聯合某電商客戶業務團隊通過特定工具梳理網站前後登入的URL,通過WAF制定精準化的CC限速防護政策,結合LTS雲日志服務,對前背景登入行為進行實時監測和審批,發現可疑登入行為,利用人機校驗進行登入驗證,并拉黑發現的惡意IP位址。
場景四:0 Day高危漏洞防護 ,2小時生效
0Day漏洞是對Web伺服器的一大威脅,黑客能夠利用0Day漏洞入侵Web伺服器,擷取有用的資訊,破壞重要的資料,導緻業務系統癱瘓。華為雲WAF有内部阻擋實驗室和外部“雙管齊下”擷取爆發的0Day漏洞和其他威脅情報。針對0Day高危漏洞,華為雲WAF可以實作2小時更新預置防護規則,及時下發虛拟更新檔保障業務安全穩定。
以去年應對Apache log4j2遠端代碼漏洞為例,華東區域檢測到一條log4j2漏洞的進攻請求後,華為雲漏洞監控中心于數分鐘後立即告知該漏洞,WAF開發團隊收到通知後即刻開啟規則自動提取、專家二次确認及現網自動驗證流程,2小時内完成漏洞防護規則上線。華為雲WAF具備了檢測攔截該漏洞進攻的功能,并抵禦了大量變形進攻,累計為存量客戶攔截的log4j2進攻達數百萬次。
當大多數人的潛意識認為對抗進攻威脅需要“蠻荒之力”時,殊不知高等的防守已經進化為“四兩撥千斤”。Web安全防護中,善用IP位址組管理,政策共享等模闆化、智能化的搭配手段,才能将客戶從繁雜的重複搭配、誤報處理等“碎片化”工作中解放出來,着重應對、處理更為關鍵、複雜的安全問題,實作高效管理。