阿裡雲雲計算ACP-----雲安全

雲盾主要産品

1.雲安全中心應用場景以及功能

2.WAF—Web應用防火牆（WAF）

Why is WAF？

Web應用防火牆（WAF）：網站必備安全産品。

傳統web應用防火牆的痛點：

•80%用不上 無法适應複雜業務，誤報幾率大

•50%無專人後續運維 産品更新慢，流程複雜 不能及時防護最新漏洞

•30% 緊急問題響應慢 不能第一時間定位問題原因、影響業務

What is 雲盾WAF？

阿裡雲.雲盾web應用防火牆：是阿裡雲提供的一款新型WAF産品，基于雲安全大資料能力實作營運+資料+攻防體系，綜合打造網站應用安全。

雲盾WAF的應用場景

•網站變卡、打不開

惡意海量雞肉通路，網站資源被耗盡

•賬号資料、資金損失

官網充值、商品交易、惡意免費/低價成交、盜用使用者賬号資料

•網站資料被惡意爬取，短信流量被監刷

資料接口被刷，如：短信流量監刷、使用者資料資訊被惡意爬取

•擷取伺服器管理者權限，篡改網站資料、頁面

利用最新０day漏洞、指令執行注入、擷取伺服器管理權限、擷取資料、篡改頁面等各種危害。

雲盾WAF的産品功能

核心能力

•0day漏洞防護

推出最新曝出的web 0day漏洞自動防禦更新檔規則、防護黑客的定向攻擊

•Web應用防護

防禦owasp常見威脅、避免注入類攻擊導緻的資料洩露

•CC防護

針對惡意雞肉發起的消耗網站資源海量請求進行攔截，并針對iP進行封禁處罰。

•業務風控

防刷、防爬、防撞庫緩解對登陸頁面的web暴力破解

雲盾WAF的工作原理

以使用者通路www.Taobao.com為例：

1.浏覽器輸入www.taobao.com 通路

2.DNS伺服器解析域名到WAF叢集位址

3.開始請求通路WAF的IP位址，網站的通路流量達到WAF防護叢集，并進行安全防護清洗。

4.防護叢集将清洗後的安全、幹淨的流量根據域名www,Taobao.com 回源到網站真實伺服器。

5.伺服器響應内容回到WAF叢集。

6.WAF進行響應内容的防護清洗，實作請求/響應雙向檢測。

雲盾WAF的産品特性

•一鍵接入

•網站隐身

•協同防禦

•精準防護

雲盾WAF的服務優勢

•應用防護規則隻針對有攻擊性行為阻攔，避免過度規則的濫用、降低業務誤報

•每日及時更新web 0day漏洞防護規則避免伺服器遭受黑客全網掃描、中招

•特定接口防護規則專家級定制、讓WAF真正被用起來

•針對高端企業使用者提供VIP服務迅速響應、及時處理網站問題。

雲盾WAF的配置方法

Step1：添加域名及伺服器公網iP

Step2：擷取域名對應的Cname位址

Step3:針對域名添加對應的Cname記錄，将流量牽引到WAF防護叢集

3.DDoS分布式拒絕服務攻擊

DDoS攻擊是什麼？

DDoS分布式拒絕服務攻擊，主要目的是讓指定目标無法提供正常服務，是最強大、最難防禦的攻擊之一。

3次握手中執行2次，第3次不進行握手，占用資源，大量攻擊耗盡使用者資源。

基礎DDoS防護的實作流程

為什麼使用DDoS高防？

•更強的服務能力

•突破裝置性能

•突破機房寬帶瓶頸

高防中心組成：

• 小流量攻擊

  攻擊小于5G，由雲出口初級檢測清洗裝置完成清洗。

• 大流量攻擊

  攻擊流量大于5G，黑洞或者高防，購買高防服務，由高防進行高等級清洗

• 強大雲端高防

  建設電信、聯通等多個高防中心，釋放使用者防護帶寬、防護性能壓力。

DDoS高防IP的功能

• 1.遊戲空連接配接
  • 防禦空連接配接
  • 防禦慢連接配接
  • 針對遊戲的惡意連接配接
  • 對封包合法性檢查
• 2.防禦CC攻擊
  • 100萬QPS
  • ip+cookie的頻率
  • IP+key的認證
  • 黑名單的處罰
  • 驗證碼防爬
• 3.防禦僵屍網絡
  • 全球僵屍網絡庫
  • 與淘寶共享資源
  • 神盾局攻擊溯源
• 4.防禦WEB攻擊
  • 防禦SQL注入
  • 防禦XSS
  • 防禦跨站攻擊

高防IP特點

1.防護海量DDOS攻擊

2.專業團隊營運

3.源站IP隐藏

4.彈性防護

5.高可靠、高可用的服務

高防IP的接入流程

1.DNS伺服器更換對外服務IP。

根據高提防VIP1，在DNS伺服器把原域名IP1更換為VIP1

2.流量完成切換。

用戶端向源站的通路流量直接流向VIP1，安全防護由高防接管。

3.回源正常使用者。

回注方式與傳統方式不同，傳統主要是打上VPN标簽進行回注隔離主機路由。我們采用協定棧更換技術，把處理完成的流量再送給源站IP1實作回注。

雲監控

雲監控是針對阿裡雲資源和網際網路應用進行監控的服務。

雲監控服務可用于收集擷取阿裡雲資源的監控名額，探測網際網路服務的可用性以及針對名額設定警報。

傳統監控不足

• 用不好

  監控對象單一，多套系統難以統一管理，遇故障無法快速準确定位。

• 用不上

  大多手動操作，運維成本高。

• 用不了

  監控資料和IT管理未打通，價值無法實作。

雲計算下監控的特點

可擴充性；監控資料融合，為業務系統服務；監控對象多，監控規模大；集中監控；技術自動化成本高，降低運維成本和IT管理成本。

雲監控的優勢

1.天然內建

無需特意開通，使用阿裡雲産品後直接到雲監控檢視産品的運作狀态并設定報警規則。

2.靈活報警

設定報警規則和通知方式後，一旦發生異常立刻報警。

3.資料處理

雲監控支援通過Dashboard對監控資料進行時間緯度和空間緯度的聚合處理。

4.可視化

通過Dashboard提供豐富的圖表，滿足各種場景下的監控資料可視化需求。