阿里云上云解决方案：高效防护 Web 应用解决方案

楼宝

随着网络技术的不断发展，您的Web应用如果没有流量入口的防护，会面临诸多风险。本方案以ECS实例接入WAF为例，推荐您使用Web应用防火墙（WAF）开启应用防护，避免网站服务器被恶意入侵导致性能异常等问题，保障网站的业务安全和数据安全。同时，为您节约开发成本，满足行业合规要求。
<h2>一、方案背景</h2>
Web应用（网站、APP、API、H5、小程序等）支撑超过90?线上业务，这些应用在对外提供服务的同时，也成为了攻击者进入内部服务器或数据库的通道。Web应用面临的常见威胁包括通过各类Web漏洞侵入服务器、上传木马、篡改网页内容、非法爬取数据、垃圾账号注册、恶意下单等。根据相关网络安全合规要求，网络服务提供者必须采取有效措施，确保其服务的基本安全防护措施到位。
<h2>二、如何防护 Web 应用</h2>
使用阿里云WAF对网站或者App的业务流量进行恶意特征识别及防护，在对流量进行清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。服务于金融、电商、O2O、互联网+、游戏、政府、保险等众多行业。
<h2>三、方案优势</h2>
方案具有以下优点：

• 防护能力强：能够防护WEB攻击、恶意爬虫，配合精准访问控制，对WEB类业务提供强有力防护。
  
• 充分发挥云资源联动优势：多种云资源联动，实现自动识别资产，提供透明接入等便捷一站式操作环境。
  
• 攻击分析追踪溯源能力：支持全量日志存储，提供场景化日志分析报表以及可视化态势大屏，全面覆盖分析、展示、溯源场景。
  
• AI、情报赋能：采用AI智能引擎有效防护新型攻击，同时海量情报也能助力用户更快、更准识别威胁。
  
• 提供全面的业务场景防护：针对常用的网站、APP、API均提供针对性的解决方案，防护不留死角。
  
• 配置全球自动实时同步、实现全球多机、多集群、多中心容灾、一键回源Bypass、SLA 全年99.95?高危风险指标钉钉群推送预警。
  </ol>
  <h2>四、与传统方案对比</h2>
  <table>
  <thead>
  <tr>
  <th>对比项</th>
  <th>传统硬件WAF或自建WAF方案</th>
  <th>阿里云WAF</th>
  </tr>
  </thead>
  <tbody>
  <tr>
  <td>接入成本</td>
  <td>硬件WAF要厂商派人去机房上架、改变网络拓扑、测试。自建则需要大量的开发和测试工作。</td>
  <td>一键接入和启用防护。</td>
  </tr>
  <tr>
  <td>维护成本</td>
  <td>需要厂商专家上门或自建安全团队+运维团队来维护。人员成本高，维护效率低。</td>
  <td>云上免维护的SaaS服务，业内顶级专家经验沉淀。7x24钉群答疑，一个非专业安全人员即可轻松维护。</td>
  </tr>
  <tr>
  <td>防护能力</td>
  <td>防护规则和威胁情报更新慢且无法自动化，设备吃灰现象普遍。</td>
  <td>0day漏洞1小时自动应急，云端海量计算资源、大数据加持下的算法模型、威胁情报持续自动更新。</td>
  </tr>
  <tr>
  <td>部署和容灾</td>
  <td>多为本地机房部署，要全方位考虑从物理机房到软件系统的容灾机制。</td>
  <td>公共云/混合云/多云灵活部署，云上多集群自动容灾调度，自带一定程度的DDoS防御。</td>
  </tr>
  <tr>
  <td>计费方案</td>
  <td>一次性支出，大量闲置资源，扩容方案复杂。</td>
  <td>即开即用，即关即走，支持包年包月/按量计费，弹性扩容。</td>
  </tr>
  </tbody>
  </table>
  <h2>五、WAF 应用场景</h2>
  <table>
  <thead>
  <tr>
  <th>应用场景</th>
  <th>业务价值</th>
  </tr>
  </thead>
  <tbody>
  <tr>
  <td>WEB攻击防护</td>
  <td>自动化防护基础WEB攻击，免攻击困扰。</td>
  </tr>
  <tr>
  <td>网络爬虫攻击防护</td>
  <td>智能化BOT防护，免除无终止的策略优化。</td>
  </tr>
  <tr>
  <td>访问控制</td>
  <td>灵活的配置入口提供强自定义的访问配置能力。</td>
  </tr>
  <tr>
  <td>多云场景防护</td>
  <td>统一防护方案，全面接入兼容，减少跨平台管理成本。</td>
  </tr>
  <tr>
  <td>安全合规</td>
  <td>提供全面的数据、分析工具溯源支撑。</td>
  </tr>
  <tr>
  <td>API安全</td>
  <td>主动发现资产（网站、APP、API），避免防护纰漏。</td>
  </tr>
  </tbody>
  </table>
  <h2>六、方案部署</h2>
  <h3>方案概览</h3>
  随着网络技术的不断发展，您的Web应用如果没有流量入口的防护，会面临如下风险：
  
  
  
  • 网页被恶意篡改，导致信息不准确。
    
  • 站点响应突然变慢或突然遇到海量的访问请求，影响正常用户访问。
    
  • 账户、手机号等敏感数据泄漏或数据库数据被篡改，导致业务受影响。
    
  • 面对新型的安全漏洞，修改代码做修复需要花时间，有阶段性的安全隐患。
    
  • 为了满足各行业安全合规要求，需要花大量的开发成本来达到网站的安全防护水位。
    
  
  如何高效灵活地避免以上问题，防护您的web应用，我们推荐您使用阿里云Web应用防火墙（Web Application Firewall，简称WAF）。WAF通过对网站或者App的业务流量进行恶意特征识别及防护，在对流量进行清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。
  <h3>方案架构</h3>
  WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后，实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后，将正常的业务流量转发回ECS服务器。具体网络架构如下图所示。
  
  
  
  
  
  
  
  本方案的技术架构包括以下基础设施和云服务：
  
  
  
  • 云服务器 ECS：部署了Web应用。
    
  • WAF 3.0按量付费版：用于防护Web应用。
    
  
  <h3>部署准备</h3>
  1.如果您还没有阿里云账号，请访问阿里云账号注册页面，根据页面提示完成注册并完成个人实名认证。阿里云账号是您使用云资源的付费实体，因此是部署方案的必要前提。
  2.为阿里云账号充值。为节省成本，本方案默认选择使用按量付费，使用按量付费资源需要确保账户余额不小于100元。选用最低规格的按量计费ECS实例，并在体验结束后释放资源，产生的费用不超过5元。实际费用以控制台账单为准。
  <h3>一键部署</h3>
  
  一键部署基于阿里云资源编排服务ROS（Resource Orchestration Service）实现，ROS模板已定义好脚本，可自动化地完成云资源的创建和配置，提高资源的创建和部署效率。
  您可以通过下方提供的ROS一键部署链接，来自动化地完成这些资源的创建和配置：
  
  
  
  • 创建 ECS 实例
    
  • 安装一个 Web 网站
    
  • 开通 WAF 3.0按量付费版。
    
  
  
  操作步骤
  1.单击一键部署，并选择地域。
  2.在配置页面选择可用区、ECS规格、设置密码，确认好价格后单击下一步。
  3.在价格预览确认价格后，单击创建。
  
  
  
  
  
  
  
  本方案中，ECS和WAF都是按量计费，其中，WAF按量付费实例会根据每个完整小时内处理的业务请求量及您已启用的防护功能，计算该小时的流量处理费和功能费，生成分时账单，并在每个结算周期生成每日账单。实际产生费用以账单为准。
  4.当资源栈信息页面的状态显示为创建成功时表示一键配置完成。
  <h3>将 ECS实例接入WAF</h3>
  实例首次接入WAF时，Web业务可能会出现秒级闪断。在客户端可自动重连的情况下该闪断会自动恢复，不会对您的业务造成影响，请您关注业务并根据业务系统评估准备重连或回源等相关容灾机制。
  
  
  
  • ECS实例接入WAF后，如果进行如下操作，引流端口会自动取消接入。您需要重新添加端口，否则，业务流量将不会经过WAF防护。
    
  
  
  
  
  • 更换实例上绑定的公网IP
    
  • ECS创建迁移任务，变更可用区
    
  • 实例被释放
    
  
  
  
  
  • ECS引流是对EIP或公网IP进行的引流。
    
  • ECS解绑EIP后引流会被自动删除。
    
  
  
  操作步骤
  1.登录Web应用防火墙3.0控制台。
  2.在左侧导航栏，单击接入管理。
  3.选择云产品接入页签，在左侧云产品类型列表，选择ECS。
  4.根据页面提示，单击立即授权，完成云产品授权（如果您已经完成云产品授权，则该页面不会出现，您可以直接执行后续步骤）。
  
  
  
  
  
  
  
  5.选择需要通过一键部署创建的实例（名称为ecs_waf-solution），单击添加端口。
  
  
  
  
  
  
  
  6.在添加端口弹窗，填入端口号80。
  
  
  
  
  
  
  
  7.完成接入后，WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象，并为该防护对象默认开启基础防护规则。您可以在防护对象页面，查看自动添加的防护对象。
  
  
  
  
  
  
  
  <h3>验证及清理</h3>
  
  方案验证
  1.登录ROS控制台，在左侧导航栏，选择资源栈，找到本方案创建的资源栈。
  2.在资源栈详情页，单击输出页签，单击的网站地址url打开部署的网站。此刻能正常访问。
  
  
  
  
  
  
  
  3.在域名后输入SQL恶意攻击代码验证防护效果，例如xxx.xxxx.com?id=1 and 1=1，返回如下405拦截提示页面，则表示攻击被拦截。
  
  
  
  
  
  
  
  
  清理
  在本方案中，您创建了1个ECS实例、1个WAF实例。体验完方案后，您可以参考以下规则处理对应产品的资源，避免继续产生费用。
  1.登录ROS控制台，在左侧导航栏，选择资源栈。
  2.找到本方案部署的资源栈，然后在其右侧操作列，单击删除。
  3.在删除资源栈对话框，选择删除方式为释放资源，然后单击确定，根据提示完成资源释放。
  4.如果您不再使用WAF 3.0实例，可以登录控制台，在总览页面单击关闭WAF。
  
  
  
  
  
  
  
  
  官网相关地址直达：
  1.更多阿里云方案查询：https://www.aliyun.com
  2.阿里云服务器ECS相关活动：https://www.aliyun.com/daily-act/ecs/activity_selection
  3.云小站（代金券发布平台）：https://www.aliyun.com/minisite/goods
  
  
  
  
  
  <div class="image-caption">云小站代金券图.png