WEB應用防火牆顧名思義就是解決WEB應用防護問題的專屬服務,今天的WEB應用已不僅限於網站門戶,APP服務接口、業務系統之間的相互調用、數據共享服務都在大量的使用WEB通道,當下絕大部分的系統交互都發生在WEB應用服務之上,可以說沒有WEB就沒有今天的互聯網和移動互聯網,在結合現在的信息安全形勢,不管需不需要過“等保”,WEB應用防火牆都是居家旅行的必備服務。
DDOS高防防禦的則是信息安全領域的第一頑疾:DDOS攻擊,DDOS攻擊翻譯過來就是分佈式拒絕服務攻擊,就是攻擊者利用技術手段調集大量的攻擊資源同時對受害者的網絡服務進行阻塞以阻止其正常對外提供服務。目前DDOS攻擊和防護所需的成本還處於不對等狀態,防禦者通常需要消耗幾十、上百倍的成本方可成功的防禦DDOS攻擊。正是因為這個原因,DDOS高防IP出現在用戶購物車裡的頻率可能是所有安全服務裡最低的,不過隨著anycast技術的出現很可能會扭轉這一狀況,另外等級保護相關要求中也有對網絡關鍵位置進行防護的相關要求,所以DDOS 高防IP在雲上等保系統中也有一席之地。
WEB應用防火牆和DDOS高防IP經常一起出現在WEB應用系統的防護解決方案中,今天就讓我們來聊聊阿里雲WEB應用防火牆和DDOS高防IP的部署吧。
申請阿里雲服務時,可以使用2000元阿里雲代金券,阿里雲官網領取網址:https://dashi.aliyun.com/site/yun/youhui
第一個要點,部署模式選擇
WEB應用防火牆和DDOS高防IP都有兩種部署模式。
DDOS高防IP支持網站接入和端口接入:
網站接入、一般面向網站提供接入防護,使用CNAME地址重定向方式接入。
端口接入、一般面向遊戲應用,使用端口映射的方式接入。
阿里雲服務器1核2G低至82元/年,阿里雲官活動網址:https://dashi.aliyun.com/site/yun/aliyun 可以用20代金券,即102-20=82。
WEB應用防火牆的接入方式包括:
CNAME接入、同DDOS的網站接入,使用CNAME地址重定向接入。
透明接入、在部分地域支持透明接入,服務器在這些地域的情況下可以選擇透明接入,但透明接入和CNAME接入模式不能共存,只能選擇一種。
假如要保護的對象是WEB應用,建議都使用CNAME接入模式。
DDOS高防IP使用端口方式接入WEB應用無法使用80端口,而且一個端口只能映射一個應用,無法通過域名進行區分複用。WEB應用防火牆假如使用透明模式則只能保護本賬號及本地域下的服務器,而WEB應用防火牆和DDOS高防IP通過CNAME接入時不僅支持對部署在阿里雲上的應用進行保護,還支持對部署在雲下的應用進行防護。
CNAME接入:就是在DNS裡將原來系統的域名從A記錄修改為CNAME記錄,記錄值從IP地址修改為一個阿里雲智能DNS提供的CNAME地址串,通過這個CNAME地址串,阿里雲智能DNS就可以將用戶對域名的請求重新調度到提供相關安全服務的地址上去。
看到這裡有人可能會耽心:假如DDOS攻擊者去攻擊阿里雲的智能DNS,豈不把所有的服務都幹趴下?打這個主意的應該不少,但都想多了。對於這一點,大家儘可放心,因為阿里雲的智能DNS服務使用的是anycast的抗DDOS方案,又有充足的帶寬和阿里雲的安全運維團隊的保駕護航。
第二個要點,拓撲結構
這個沒有什麼“假如”,一定要把DDOS高防IP部署在WEB應用防火牆之前,否則DDOS高防IP就白買了。
WEB應用防火牆主要的功能是防禦WEB應用層攻擊,當遇到DDOS攻擊時WEB應用防火牆也會被打到無法繼續提供服務,DDOS高防IP必須部署在WEB應用防火牆之前才能夠有效的攔截DDOS攻擊。
第三個要點,部署順序
假如是對一個正在運行中的系統進行防護,建議先從DDOS高防IP開始部署。
先配置DDOS高防IP只需要修改一次DNS記錄:
完成DDOS高防IP的配置,源站地址填服務器的外網IP,配置完成後將獲得DDOS高防的接入CNAME地址串。
修改DNS記錄為DDOS高防IP的CNAME記錄,實現DDOS高防IP接入。
完成WEB應用防火牆的配置,WEB應用防火牆的源站同樣也是服務器的外網IP,獲得WEB應用防火牆的接入CNAME地址串。
修改DDOS高防的源站服務器地址,將服務器的IP地址替換為WEB應用防火牆的CNAME地址,從而實現WEB應用防火牆接入。
假如先配置WEB應用防火牆就需要修改兩次DNS記錄:
完成WEB應用防火牆的配置,源站填服務器外網IP,獲得WEB應用防火牆的接入CNAME地址串。
將DNS記錄修改為WEB應用防火牆的CNAME記錄以驗證WEB應用防火牆是否正常工作。
完成DDOS高防IP的配置,後端服務器地址填寫為WEB應用防火牆的CNAME記錄,但此時的DNS記錄依然指向的是WEB應用防火牆,因此還需要再修改一次DNS記錄。
將DNS記錄修改為DDOS高防IP的CNAME記錄驗證DDOS高防IP和WEB應用防火牆的工作是否正常。
DNS服務有緩存和過期機制,默認的TTL過期時間一般都是10分鐘,這樣在兩次修改期間假如出現服務異常要切換回原來的地址一般都需要10分鐘左右,再加上有部分的DNS緩存服務器不遵守TTL設定,回切的時間將會更長。
因此在對在線應用服務部署WEB應用防火牆和DDOS高防IP時,建議先部署DDOS 高防IP。
第四個要點,CC攻擊的防禦
這個也沒有什麼“假如”,在同時部署DDOS高防IP和WEB應用防火牆的情況下,優先使用WEB應用防火牆的CC攻擊防禦能力。
CC攻擊是一種通過大量消耗應用服務器CPU、內存、磁盤處理能力的方式來讓應用服務無法正常對外服務的一種攻擊方式。
為什麼?CC攻擊的名字就說明一切了,CC攻擊全稱Challenge Collapsar,意思是挑戰黑洞,黑洞是當年國內一個安全廠商推出的抗DDOS產品,在當時的公開測試時有攻擊者使用了CC攻擊,CC攻擊成功的繞過了黑洞的防禦機制而讓後臺業務應用無法繼續提供服務。
第五個要點,為網站接入預留端口
DDOS的端口映射模式不能使用80/443端口,但可以使用8080/8443,而我的建議是儘量不要在端口模式下使用這兩個端口。
因為在和WEB應用防火牆配合使用時可以通過網站接入的方式來使用8080/8443 端口,但前提是8080/8443端口沒有被映射使用。
第六個要點,網站遷移保護期
當把網站在兩個WEB應用防火牆實例之間遷移時,出於維護集群穩定性的考慮,不能直接將網站從一個實例刪除後直接加入到另一個實例,在添加實例時會收到有關域名在若干時間的保護期後才能加入的信息,針對這種情況有如下建議:
選一個業務維護窗口進行遷移,在遷移期間不提供服務。
可以通過工單和服務群申請解除保護期,在保護期被解除後就可以在另一個WEB應用防火牆實例添加網站域名。
在切換期間將請求通過DNS接回源站,並祈求老天保佑這個時間不會有人來攻擊。
在切換期間將請求通過DNS接回源站,在源站將請求重定向到另一個臨時域名,並將該域名接入WEB應用防火牆進行防護。這裡必須使用顯式的HTTP重定向,而不能使用CNAME。