一 Web应用安全风险
Web应用对外提供服务的同时,也对攻击者提供了可以进入到内部服务器和数据库的入口,针对Web应用的常见攻击手法有SQL注入、跨站脚本(XSS)、webshell、越权、撞库、DDoS攻击等。按照相关合规要求,网络服务经营者应采取相应的手段,保障网站等服务基本的安全防护水位。
二 阿里云Web应用防火墙
简介
阿里云Web应用防火墙(Web Application Firewall,简称WAF)基于云安全大数据和智能计算能力,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击,对网站或者App的业务流量进行恶意特征识别和防护,将正常、安全的流量回源到服务器。避免网站或App业务服务器遭恶意入侵,保障业务核心数据安全,并解决因恶意攻击导致的服务器性能异常问题。
独特优势
产品优势 |
优势说明 |
10年以上网络安全经验 |
|
防御CC攻击和爬虫攻击 |
|
集成大数据能力 |
|
简易性、可靠性 |
|
补充一个防护数据。证明成熟度。 |
应用场景
阿里云Web应用防火墙适用于金融、电商、o2o、互联网+、游戏、政府、保险等行业各类网站或App业务的Web应用安全防护。
可以帮助用户解决以下业务应用安全问题:
- 防数据泄密:避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
- 防御恶意CC攻击:通过阻断海量的恶意请求,保障网站可用性。
- 阻止木马上传、网页篡改,保障网站的公信力。
- 提供虚拟补丁:针对网站被曝光的最新安全漏洞,最大可能地提供快速修复规则。
产品架构
三 如何接入WAF
场景一 将ECS实例接入WAF
WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。具体网络架构如下图所示:
使用限制
云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名。
限制项类型 |
描述 |
支持的实例 |
同时满足:
|
操作步骤
阿里云提供WAF 3.0版实例的免费试用活动,如果您是WAF 3.0的新用户,您可以访问阿里云免费试用申请试用资格。如果没有免费试用资格,按照本文操作步骤在控制台创建实例。
- 登录Web应用防火墙3.0控制台。在欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
- 在左侧导航栏,单击接入管理。
- 选择云产品接入页签,在左侧云产品类型列表,选择ECS。
- 根据页面提示,单击立即授权,完成云产品授权。
- 在接入资产- ECS面板,完成如下配置。
- 确认并选中要添加的实例后,单击确定。
完成接入后,WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象,并为该防护对象默认开启基础防护规则。您可以在接入列表,单击已接入的实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述。
- 验证ECS是否成功接入WAF。
- 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
- 在域名后输入SQL恶意攻击代码验证防护效果,例如
xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。
相关文档
场景二 为SLB实例开启WAF防护
WAF通过SDK模块化的方式,与ALB原生架构集成,通过内嵌在网关中的SDK提取并检测流量。该过程中,WAF只进行业务监听,不再参与流量转发,实现防护与流量转发的完全分离,为您提供更高的安全运维效率、更流畅的交互体验。
使用限制
- 云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护,您可以通过CNAME接入将您的网站域名添加到WAF。具体操作,请参见添加域名。
- 仅支持状态为运行中的基础版、标准版实例,升级为WAF增强版。
- 接入WAF的ALB实例暂不支持如下功能:
- 信息泄露防护
- Bot管理网页防爬场景化防护中的自动集成Web SDK
操作步骤
- 登录Web应用防火墙3.0控制台。在欢迎使用Web应用防火墙页面,单击0元开通了解控制台功能。
- 在左侧导航栏,单击接入管理。
- 选择云产品接入页签,在左侧云产品类型列表,选择ALB。
- 根据页面提示,单击立即授权,完成云产品授权。完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台的身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。
如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。 - 在应用型负载均衡ALB控制台,为ALB实例开启WAF防护。
- 登录应用型负载均衡ALB控制台。
- 在顶部菜单栏,选择实例所属的地域。
- 在页面,找到目标实例,选择以下任意一种方式开启WAF防护。
- 方式一:将鼠标悬停在目标实例名称后的
图标,然后在气泡框中单击Web应用安全防护区域的开启防护。 - 方式二:在操作列选择
> 变配功能版本。 - 方式三:单击目标实例ID,在页签,找到基本信息区域中的WAF安全防护,然后单击开启防护。
- 方式四:单击目标实例ID,在页签,单击安全防护页签。然后单击开启防护。
- 在应用型负载均衡(按量付费) | 变配页面,选择功能版本(实例费)为WAF增强版,选中服务协议,单击立即购买并完成支付。
- 验证ALB是否成功接入WAF。
- 在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示WAF接入成功。
- 在域名后输入SQL恶意攻击代码验证防护效果,例如
xxx.xxxx.com?id=1 and 1=1,返回如下 405 拦截提示页面,则表示攻击被拦截。
