【云计算的1024种玩法】配置 Web应用防火墙 防患攻击与未然

最新推荐文章于 2025-09-13 19:07:06 发布
转载 最新推荐文章于 2025-09-13 19:07:06 发布 · 152 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/583367
文章标签:

#运维 #大数据 #数据库

本文详细介绍Web应用防火墙(WAF)的功能特性,包括防护OWASP常见威胁、0day漏洞快速防护等,以及如何配置使用WAF确保网站安全。

前言

随着互联网的不断发展,互联网上的攻击威胁也越来越多,例如电商行业的交易数据被篡改,网站被篡改发表跑路内容导致信任危机,数据库被攻击导致客户信息泄露,相关客户福利措施被薅羊毛等等,即便是很小的过失都可能带来极大的负面效应。

image

Web应用防火墙 (以下或简称 WAF)就是这样一款解决上述安全问题的产品,可以提供保障网站、APP等Web应用的数据安全、业务安全及可用性等服务。

介绍

Web应用防火墙 支持包括但不限于:防护OWASP常见威胁、0day漏洞快速防护、网站隐身、缓解恶意CC攻击、过滤恶意的Bot流量、IP访问控制、URL访问控制、恶意CC变种攻击、恶意爬虫防护、管理后台保护、盗链防护、拦截黑客针对不存在的URL地址、基于地理区域的封禁、企业版提供针对指定地区的IP访问封禁、日志管理 等功能。

相比于市面上常见的开源 WAF 产品,Web应用防火墙 更加专业,其集聚了安全大数据实时智能引擎、海量恶意IP库/IDC机器IP封禁、黑客威胁情报、Web攻击&CC智能算法、精准访问控制&业务安全等服务。

可以说 WAF 是一款用的人越多越聪明越好用的产品。

要求 & 收获

需要使用到的产品:

  1. 任意(包括非阿里云)服务器/ECS /轻量应用服务器/万网云虚拟主机
  2. Web应用防火墙

通过本文你将讲学到:

  1. 配置使用 Web应用防火墙
  2. 常见 Web 攻击的防护

说明

  1. 同高防 DDOS 和 SLB 这样的产品不同而是 WAF 只提供七层防护,无四层转发,只有默认的2G-5G的防护能力,并不能抵御大规模DDoS攻击,但是提供更加精准的CC防护
  2. 接入 WAF 的域名必须在阿里云备案或者备案接入阿里云,而且不支持纯IP
  3. WAF 不区分电信联通线路,全线BGP线路,不需要分线路

接入

由于阿里云的网络产品有很多,比如说 SLB、CDN、WAF、DDOS 高防等等,所以在配置的时候一定要按照一定的顺序进行接入,不然可能很多产品使用了不仅不会起效果反而还会引起负面效果。

经典的糖葫芦结构:

WAF —— SLB —— ECS

DDOS 高防 —— WAF —— SLB —— ECS

接入 CDN:

CDN —— WAF —— SLB —— ECS

有 CDN 和高防的场景:

但是如果有 DDOS高防 套在 CDN 后面就不会起作用,套在 CDN 之前 CDN 也会失去作用,这时候就要考虑阿里云的 DDOS高防 和 CDN 结合的产品: SCDN

SCDN —— WAF —— SLB —— ECS

接入配置

一、 选择防护的地域,是中国大陆还是海外地区,然后 添加网站

image

二、 然后会自动列出在阿里云 DNS 中存在的网站,如果里面没有需要防御的域名可以选择 防护其他网站 ,记得勾选是否防御 HTTPS

image

三、 在 管理 —— 网站配置 中,我们就可以看到我们添加的域名了,我们可以继续进行编辑。 防护其他网站 的设置和 编辑网站配置 的内容一致:

image

image

WAF 可以为本地为 HTTP 的网站自动配置 HTTPS 非常的方便,适合不会配置 HTTPS 的新手,当然也支持 HTTPS 回源的全加密链路。

放行回源 IP

接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,客户端只能看到WAF,而看不到源站。如下图所示(origin为源站):

image

在源站(真实服务器)看来,所有的请求源IP都会变成WAF的回源IP段。
由于来源的IP变得更加“集中”,频率会变得更快,服务器上的防火墙或安全软件很容易认为这些IP在发起攻击,从而将其拉黑。一旦拉黑,WAF的请求将无法得到源站的正常响应,故务必要确保回源IP在源站上没有被拦截。

进入 网站管理 在顶部可以看到有 Web应用防火墙回源IP网段列表 就是 WAF 的回源 IP 了,在服务器的相关安全软件中添加 IP 即可。

image

本地验证

在把业务流量切到WAF上之前,建议先通过本地验证的方式确保一切配置正常、WAF转发正常。

我们 Ping 一下 WAF 提供的 CNAME 地址,复制解析到的 IP,然后修改 hosts 来测试:

image

image

然后我们模拟一个攻击行为看看会不会被拦截,例如在域名后加入 ?id=../etc/passwd

例如访问: https://links.mf8.biz/share/1?id=../etc/passwd

image

那么测试就成功了!

修改DNS解析

如果域名 DNS 使用的是阿里云 DNS 那么会自动进行 CNAME 配置,如果DNS为其他厂商需要手动复制 CNAME 地址,将受防护域名的记录改 CNAME 记录到分配的 CNAME 值上。

image

我们将类型选择 CNAME,然后线路选择 默认 ,再将记录值改为 CNAME 值即可

值得一提的是 TTL 值一般建议设置为600秒(即10分钟)。TTL值越大,意味着记录的同步和更新越慢。

全网生效大致需要 10粉最 到最长 48 小时左右。

使用

安全报表

WAF 有着非常好的安全报表,我们可以详细的了解发生的攻击行为以及攻击者信息

image

image

并获得相关风险预警:

image

防护配置

网站配置 处我们还可以选择具体的 防护配置

image

例如我们可以在正在遭受大规模 CC攻击 的时候调整为 攻击紧急 模式

image

总结

Web 防火墙是一款开箱即用的安全产品,可以帮助解决不少安全问题,在资金充裕的情况下不失为一种很好的常备选择!

阿里云主要产品及功能介绍,阿里云产品分为6大分类:云计算基础/安全/大数据/人工智能/企业应用/物联网
m0_58207718的博客
05-14 1万+
目录 云计算基础(Cloud Essentials): 安全(Security): 大数据(Data Technology): 人工智能(AI): 企业应用(Enterprise Applications): 物联网(IOT): 云计算基础(Cloud Essentials): 云基础产品体系完整度全球领先,基础产品及功能持续投入建设,源源不断的通过新技术提企业云上的计算、运维、开发和管理能力。...
Python开发FastAPI从入门到精通
YunWisdom
01-24 5075
想用Python写API快到飞起?FastAPI就是你的“代码瑞士军刀”!这本书不讲玄学,只教真功夫——从零搭建性能API,到微服务、分布式事务、熔断限流,连异步编程都能玩成魔法! 小白也能变大神:路由、依赖注入、数据库集成手把手教学;老鸟直呼内行:服务网格、Saga模式、K8s部署实战全覆盖。附赠三个硬核项目:任务管理、在线商城、实时聊天系统,代码跑起来比奶奶织毛衣还丝滑!别说我没提醒你:翻开这本书,你的代码可能会快到自己都追不上!🚀
CentOS Linux 8运行了防火墙就能止一切攻击了吗?怎么安装/配置防火墙Firewall?
Tristone的博客
12-29 985
防火墙住什么样的攻击?不能住什么攻击? 关于这个问题网上有很多详细的介绍,咱们用直白的话来说明一下: 1、能住什么:我们不让防火墙外面的人访问的端口,它就一定访问不了。 比如:防火墙只开放80端口,对于外面的人来说,其它端口他就一点都看不到。 2、不能住什么:内部服务器中病毒了,防火墙没有办法。对外提供服务的软件有漏洞,被黑客利用,防火墙也没有太好的办法。 怎么安装/配置防火墙Firewall? 测试平台介绍 我们安装的CentOS的版本是CentOS Linux release 8.0.190
web防火墙抵御攻击是如何实现的
JPshangdexiaofeixia的博客
06-19 668
WAF的核心技术在于对web攻击护能力和对HTTP本质的理解,前者要求WAF能够完整地解析HTTP,包括报文头部、参数及载荷;支持各种HTTP编码;提供严格的http协议验证;提供html限制;支持各类字符集编码;具备http response过滤能力/从而降低安全风险的角度而言,后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测觉察度因子。那...
[教程]【云计算1024玩法配置 Web应用防火墙 防患攻击未然
sweetfire的博客
08-01 132
前言     随着互联网的不断发展,互联网上的攻击威胁也越来越多,例如电商行业的交易数据被篡改,网站被篡改发表跑路内容导致信任危机,数据库攻击导致客户信息泄露,相关客户福利措施被薅羊毛等等,即便是很小的过失都可能带来极大的负面效应。    >>>阅读全文...
新技术加速隐私暴露,如何应对?
wenyusuran的专栏
09-17 9836
新技术加速隐私暴露,如何应对?(一) 原创数据玩家一个数据玩家的自我修养2019-10-09 收录于话题 #新技术隐私保护 8个 点击上方蓝字关注数据玩家 正文约4000字,读完需11分钟 序 最近的大数据行业风声鹤唳,多家大数据服务头部企业、贷超、催收公司被查,引发行业地震,未被牵连的企业纷纷自查,其他头部公司黑稿和纠纷频出。从业者如惊弓之鸟,人人自危;普通用户纷纷叫好,同时引发对隐私保护的担忧和强监管诉求。 此刻我又想...
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
【云周刊】第183期:阿里云发布ET工业大脑开放平台,交付只需6天
weixin_34417635的博客
08-12 261
本期头条 阿里云发布ET工业大脑开放平台,交付只需6天 8月1日,阿里云发布ET工业大脑开放平台,基于该平台,合作伙伴可以轻松实现工业数据的采集、分析、挖掘、建模,并且快速构建智能分析应用。未来3年,阿里云将面向工业领域招募上千家生态合作伙伴,以实现智能制造成功案例的规模化复制,加速推动制造业的数字化转型。阿里云机器智能首席科学家闵万里表示,“工业大脑...
软件风险管理-防患未然.docx
07-02
软件风险管理是一个日益受到重视的课题,它软件工程、项目管理、过程控制和能力成熟度等方面的知识密切相关。随着软件开发能力的提,软件产品和服务质量得到改善,然而软件业的忙乱状态并未随之消减。其原因是多...
演讲稿:防患未然.pdf
07-31
8. 防患未然在生活各方面的应用:不仅仅在消安全上,生活中的各个领域都需要具备范意识,如交通安全、食品药品安全等,通过预措施来降低事故发生的风险和伤害。 9. 防患未然的实践意义:防患未然不是一...
软件风险管理-防患未然..docx
07-01
软件风险管理是软件项目管理的重要组成部分,它涉及到识别、分析、监控和控制项目风险,以确保项目目标的顺利实现。在软件开发过程中,企业面临的挑战和压力巨大,因为软件项目需要较的技术性和创造性,同时客户...
湘师大版《道德法治》八年级上册第五单元第三节防患未然28PPT.ppt
10-30
这个话题的核心概念是“防患未然”,强调从小事做起,勿以恶小而为之。 "勿以恶小而为之"这句古语教导我们,不要因为事情看似微不足道就忽视其可能带来的负面影响。在青少年的成长过程中,一些不良行为如打架斗殴...
从“事后诸葛亮”到“防患未然”——“深度学习信息安全”解读.pdf
08-19
从“事后诸葛亮”到“防患未然”——“深度学习信息安全”解读.pdf
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
东城绝神
09-12 568
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
docke笔记下篇
最新发布
二月鸟
09-13 565
搜索镜像拉取镜像查看镜像启动镜像 - 服务端口映射停止容器移除容器从应用软件的角度来看,Dockerfile、Docker镜像Docker容器分别代表软件的三个不同阶段,● Dockerfile是软件的原材料● Docker镜像是软件的交付品● Docker容器则可以认为是软件镜像的运行态,也即依照镜像运行的容器实例Dockerfile面向开发,Docker镜像成为交付标准,Docker容器则涉及部署运维,三者缺一不可,合力充当Docker体系的基石。
LVS负载均衡群集Keepalived可用
m0_46460826的博客
09-11 730
在当今的互联网时代,随着业务的快速发展,用户访问量呈现爆炸式增长。为了应对这种并发的访问需求,确保网站或应用的稳定性、可靠性和性能,负载均衡技术应运而生。负载均衡(Load Balancing)是一种将网络流量或计算任务分配到多个服务器上的技术,旨在优化资源利用、最大化吞吐量、最小化响应时间,并避免任何单一资源的过载。在众多负载均衡解决方案中,LVS(Linux Virtual Server)和Keepalived凭借其性能、可用性和灵活性,成为了企业级应用中的热门选择。
详细的vmware虚拟机安装教程
dhyuan_88的博客
09-09 943
开机:在 Player 主界面选中虚拟机,点击“播放虚拟机”。关机:在虚拟机的操作系统内部,像普通电脑一样点击“开始”->“电源”->“关机”。不要直接点击窗口上的叉号,那相当于强制断电。暂停:点击“暂停”按钮可以快速暂停/恢复虚拟机状态。全屏模式:按可以进入/退出全屏。释放鼠标:在虚拟机内操作后,鼠标会被“捕获”,按Ctrl + Alt可以将鼠标释放回物理机。
秋日私语:一片落叶,一个智能的温暖陪伴
2501_92680371的博客
09-10 966
当秋风吹拂,落叶翩跹,繁华的城市也悄然披上金黄的外衣。然而,在这份诗意背后,是清洁伙伴们默默付出的辛劳,是清洁效率成本的现实考量。
防火墙配置Web区没网
01-09
### 解决防火墙配置引起的Web区域网络不通问题 当遇到因防火墙配置不当而导致Web区域无法正常访问外部资源的情况时,可以采取一系列措施来排查并解决问题。 #### 1. 检查安全策略设置 确认防火墙的安全策略是否允许来自Web区域的数据流向外发送请求。通常情况下,需要确保存在一条明确许可规则,该规则应指定源地址(即Web服务器所在的子网)、目标地址(通常是任意或特定公网IP),以及所使用的协议和服务端口(如HTTP/HTTPS)。如果缺少这样的条目,则需创建相应规则以开放必要的通信路径[^1]。 #### 2. 审核NAT转换规则 对于采用私有IP地址的内部网络来说,出口流量往往要经过网络地址翻译(NAT)才能顺利抵达公共互联网。因此,在审查过程中也应当关注之相关的映射关系是否正确设定。例如,在某些场景下可能需要验证PAT(Port Address Translation, 端口级地址转换)机制能否有效地将内网主机发出的数据包中的源IP替换为合法可用的公有IP,并保持会话状态的一致性[^2]。 #### 3. 查看连接跟踪记录 利用命令行工具`display firewall session table`可以帮助管理员快速定位潜在故障点。此指令能够展示当前活动的所有TCP/IP会话详情,包括但不限于发起方、接收者及其交互模式等重要参数。通过对比预期行为同实际观测到的结果之间的差异,进而推断出是否存在异常状况阻碍了正常的通讯流程。 #### 4. 测试连通性和性能指标 借助ping测试或者更专业的带宽测量软件来进行简单的诊断工作也是不可或缺的一部分。前者主要用于检验两台机器之间最基本的可达性;后者则能进一步揭示链路质量的好坏程度——比如延迟时间长短、丢包率低等问题均有可能影响最终用户体验。值得注意的是,在执行上述操作前最好先暂停任何可能导致误报的服务进程以免干扰判断准确性。 #### 5. 日志分析告警监控 最后但同样重要的一步就是充分利用好日志文件所提供的宝贵线索。现代企业级防火墙上一般都会配备完善的事件记录系统,它们不仅详尽记载着每一次进出站动作的时间戳记、涉及对象乃至具体原因等内容,而且还能配合预设阈值触发即时通知提醒相关人员及时介入处理突发情况。定期回顾这些文档有助于提前发现隐患所在从而防患未然。 ```bash # 使用Ping命令检测连通性 ping www.example.com # 或者使用traceroute追踪路由路径 traceroute www.example.com ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值