安全資訊

云上等保部署要點(diǎn)-WEB應用防火墻和DDOS高防IP

【時(shí)間】2020-09-01

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

WEB應用防火墻顧名思義就是解決WEB應用防護問(wèn)題的專(zhuān)屬服務(wù),今天的WEB應用已不僅限于網(wǎng)站門(mén)戶(hù),APP服務(wù)接口、業(yè)務(wù)系統之間的相互調用、數據共享服務(wù)都在大量的使用WEB通道,當下絕大部分的系統交互都發(fā)生在WEB應用服務(wù)之上,可以說(shuō)沒(méi)有WEB就沒(méi)有今天的互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng),在結合現在的信息安全形勢,不管需不需要過(guò)“等?!?,WEB應用防火墻都是居家旅行的必備服務(wù)。
DDOS高防防御的則是信息安全領(lǐng)域的第一頑疾:DDOS攻擊,DDOS攻擊翻譯過(guò)來(lái)就是分布式拒絕服務(wù)攻擊,就是攻擊者利用技術(shù)手段調集大量的攻擊資源同時(shí)對受害者的網(wǎng)絡(luò )服務(wù)進(jìn)行阻塞以阻止其正常對外提供服務(wù)。目前DDOS攻擊和防護所需的成本還處于不對等狀態(tài),防御者通常需要消耗幾十、上百倍的成本方可成功的防御DDOS攻擊。正是因為這個(gè)原因,DDOS高防IP出現在用戶(hù)購物車(chē)里的頻率可能是所有安全服務(wù)里最低的,不過(guò)隨著(zhù)anycast技術(shù)的出現很可能會(huì )扭轉這一狀況,另外等級保護相關(guān)要求中也有對網(wǎng)絡(luò )關(guān)鍵位置進(jìn)行防護的相關(guān)要求,所以DDOS 高防IP在云上等保系統中也有一席之地。
WEB應用防火墻和DDOS高防IP經(jīng)常一起出現在WEB應用系統的防護解決方案中,今天就讓我們來(lái)聊聊阿里云WEB應用防火墻和DDOS高防IP的部署吧。
第一個(gè)要點(diǎn),部署模式選擇
WEB應用防火墻和DDOS高防IP都有兩種部署模式。
DDOS高防IP支持網(wǎng)站接入和端口接入:
  • 網(wǎng)站接入、一般面向網(wǎng)站提供接入防護,使用CNAME地址重定向方式接入。

  • 端口接入、一般面向游戲應用,使用端口映射的方式接入。

WEB應用防火墻的接入方式包括:
  • CNAME接入、同DDOS的網(wǎng)站接入,使用CNAME地址重定向接入。

  • 透明接入、在部分地域支持透明接入,服務(wù)器在這些地域的情況下可以選擇透明接入,但透明接入和CNAME接入模式不能共存,只能選擇一種。

假如要保護的對象是WEB應用,建議都使用CNAME接入模式。
DDOS高防IP使用端口方式接入WEB應用無(wú)法使用80端口,而且一個(gè)端口只能映射一個(gè)應用,無(wú)法通過(guò)域名進(jìn)行區分復用。WEB應用防火墻假如使用透明模式則只能保護本賬號及本地域下的服務(wù)器,而WEB應用防火墻和DDOS高防IP通過(guò)CNAME接入時(shí)不僅支持對部署在阿里云上的應用進(jìn)行保護,還支持對部署在云下的應用進(jìn)行防護。
CNAME接入:就是在DNS里將原來(lái)系統的域名從A記錄修改為CNAME記錄,記錄值從IP地址修改為一個(gè)阿里云智能DNS提供的CNAME地址串,通過(guò)這個(gè)CNAME地址串,阿里云智能DNS就可以將用戶(hù)對域名的請求重新調度到提供相關(guān)安全服務(wù)的地址上去。
看到這里有人可能會(huì )耽心:假如DDOS攻擊者去攻擊阿里云的智能DNS,豈不把所有的服務(wù)都干趴下?打這個(gè)主意的應該不少,但都想多了。對于這一點(diǎn),大家盡可放心,因為阿里云的智能DNS服務(wù)使用的是anycast的抗DDOS方案,又有充足的帶寬和阿里云的安全運維團隊的保駕護航。
第二個(gè)要點(diǎn),拓撲結構
這個(gè)沒(méi)有什么“假如”,一定要把DDOS高防IP部署在WEB應用防火墻之前,否則DDOS高防IP就白買(mǎi)了。
WEB應用防火墻主要的功能是防御WEB應用層攻擊,當遇到DDOS攻擊時(shí)WEB應用防火墻也會(huì )被打到無(wú)法繼續提供服務(wù),DDOS高防IP必須部署在WEB應用防火墻之前才能夠有效的攔截DDOS攻擊。
?第三個(gè)要點(diǎn),部署順序
假如是對一個(gè)正在運行中的系統進(jìn)行防護,建議先從DDOS高防IP開(kāi)始部署。
先配置DDOS高防IP只需要修改一次DNS記錄
  1. 完成DDOS高防IP的配置,源站地址填服務(wù)器的外網(wǎng)IP,配置完成后將獲得DDOS高防的接入CNAME地址串。

  2. 修改DNS記錄為DDOS高防IP的CNAME記錄,實(shí)現DDOS高防IP接入。

  3. 完成WEB應用防火墻的配置,WEB應用防火墻的源站同樣也是服務(wù)器的外網(wǎng)IP,獲得WEB應用防火墻的接入CNAME地址串。

  4. 修改DDOS高防的源站服務(wù)器地址,將服務(wù)器的IP地址替換為WEB應用防火墻的CNAME地址,從而實(shí)現WEB應用防火墻接入。

假如先配置WEB應用防火墻就需要修改兩次DNS記錄
  1. 完成WEB應用防火墻的配置,源站填服務(wù)器外網(wǎng)IP,獲得WEB應用防火墻的接入CNAME地址串。

  2. 將DNS記錄修改為WEB應用防火墻的CNAME記錄以驗證WEB應用防火墻是否正常工作。

  3. 完成DDOS高防IP的配置,后端服務(wù)器地址填寫(xiě)為WEB應用防火墻的CNAME記錄,但此時(shí)的DNS記錄依然指向的是WEB應用防火墻,因此還需要再修改一次DNS記錄。

  4. 將DNS記錄修改為DDOS高防IP的CNAME記錄驗證DDOS高防IP和WEB應用防火墻的工作是否正常。

DNS服務(wù)有緩存和過(guò)期機制,默認的TTL過(guò)期時(shí)間一般都是10分鐘,這樣在兩次修改期間假如出現服務(wù)異常要切換回原來(lái)的地址一般都需要10分鐘左右,再加上有部分的DNS緩存服務(wù)器不遵守TTL設定,回切的時(shí)間將會(huì )更長(cháng)。
因此在對在線(xiàn)應用服務(wù)部署WEB應用防火墻和DDOS高防IP時(shí),建議先部署DDOS 高防IP。
第四個(gè)要點(diǎn),CC攻擊的防御
這個(gè)也沒(méi)有什么“假如”,在同時(shí)部署DDOS高防IP和WEB應用防火墻的情況下,優(yōu)先使用WEB應用防火墻的CC攻擊防御能力。
CC攻擊是一種通過(guò)大量消耗應用服務(wù)器CPU、內存、磁盤(pán)處理能力的方式來(lái)讓?xiě)梅?wù)無(wú)法正常對外服務(wù)的一種攻擊方式。
為什么?CC攻擊的名字就說(shuō)明一切了,CC攻擊全稱(chēng)Challenge Collapsar,意思是挑戰黑洞,黑洞是當年國內一個(gè)安全廠(chǎng)商推出的抗DDOS產(chǎn)品,在當時(shí)的公開(kāi)測試時(shí)有攻擊者使用了CC攻擊,CC攻擊成功的繞過(guò)了黑洞的防御機制而讓后臺業(yè)務(wù)應用無(wú)法繼續提供服務(wù)。
第五個(gè)要點(diǎn),為網(wǎng)站接入預留端口
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建議是盡量不要在端口模式下使用這兩個(gè)端口。
因為在和WEB應用防火墻配合使用時(shí)可以通過(guò)網(wǎng)站接入的方式來(lái)使用8080/8443 端口,但前提是8080/8443端口沒(méi)有被映射使用。
第六個(gè)要點(diǎn),網(wǎng)站遷移保護期
當把網(wǎng)站在兩個(gè)WEB應用防火墻實(shí)例之間遷移時(shí),出于維護集群穩定性的考慮,不能直接將網(wǎng)站從一個(gè)實(shí)例刪除后直接加入到另一個(gè)實(shí)例,在添加實(shí)例時(shí)會(huì )收到有關(guān)域名在若干時(shí)間的保護期后才能加入的信息,針對這種情況有如下建議:
  • 選一個(gè)業(yè)務(wù)維護窗口進(jìn)行遷移,在遷移期間不提供服務(wù)。

  • 可以通過(guò)工單和服務(wù)群申請解除保護期,在保護期被解除后就可以在另一個(gè)WEB應用防火墻實(shí)例添加網(wǎng)站域名。

  • 在切換期間將請求通過(guò)DNS接回源站,并祈求老天保佑這個(gè)時(shí)間不會(huì )有人來(lái)攻擊。

  • 在切換期間將請求通過(guò)DNS接回源站,在源站將請求重定向到另一個(gè)臨時(shí)域名,并將該域名接入WEB應用防火墻進(jìn)行防護。

    這里必須使用顯式的HTTP重定向,而不能使用CNAME。

以上,就是我能想到的一些DDOS高防IP和WEB應用防火墻的部署要點(diǎn),希望對大家有用。

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线