【中国】关于Alibaba Cloud的WAF服务【云安全】

大家好!我是技术销售部的大原。

本文将介绍阿里云(Alibaba Cloud)提供的WAF服务—— 阿里云Web应用防火墙(Alibaba Cloud WAF)的特点和功能。

※本文基于2021年的国际版Alibaba Cloud WAF写成。

Alibaba Cloud云安全服务的历史

Alibaba Cloud致力于开发安全防护产品,以保护Alibaba Cloud的服务免受各种外部网络攻击。

其安防产品之一的阿里云Web应用防火墙——Alibaba Cloud WAF(Web Application Firewall),是Alibaba Cloud基于十多年的安防经验而开发出的,并扎根于大数据技术的具备高度防御机制的进化型服务。

Alibaba Cloud WAF服务的概要

Alibaba Cloud WAF不仅可以安装在Alibaba Cloud上,对于在本地部署(On-Premise)、VPS(虚拟专用服务器)、以及其他云服务商所提供的服务器上的系统,也仅需要切换DNS 即可安装,而不受安装的基础设施环境限制。

■Web应用程序保护

●防御零日(0 day)攻击
・通过在24小时内动态更新防御规则,可迅速应对风险。

●网站隐藏
・通过在DNS前端添加WAF对网络流量进行迂回导向,隐藏并保护网站不受入侵者的攻击。

●防御OWASP攻击
・提供各种防护规则和检控功能,能够正确判断并防御SQL注入等已知攻击。

■网站访问控制

●添加HTTPS功能
・只需上传私有密钥文件,即可为网站添加 HTTPS 功能。

●控制访问
・通过多层保护,可迅速发现为入侵做准备的信息收集活动并对其进行拦截或封禁。

■高精度流量分析

●准确判断恶意访问
・能够准确识别通过机器人等手法的恶意访问,并在其被封锁时进行评估。

●自定义策略
・可根据需要自由地更改和更新防御规则。

Alibaba Cloud WAF的功能(按版本分类)

Alibaba Cloud WAF有4个版本,具体可以根据处理能力、防御功能和应用场景来进行选择。

例如,您可以从Professional版本开始使用,然后伴随Web访问量的增加可以选择更换版本,可以根据自己的用途和情况灵活地进行扩展。

特点 概要 Pro Edition Business Edition Enterprise Edition Exclusive Edition (submit tickets to purchase)
峰值请求率 2,000 QPS 5,000 QPS 高于10,000 QPS 5,000 QPS
最大带宽 源服务器部署在Alibaba Cloud上的情况 50 Mbit/秒 100 Mbit/秒 200 Mbit/秒 100 Mbit/秒
源服务器未部署在Alibaba Cloud上的情况 10 Mbit/秒 30 Mbit/秒 50 Mbit/秒 30 Mbit/秒
默认支持的最大域数 1 1 1 1,000
默认支持的最大子域数 支持通配符域 10 10 10 1,000
HTTPS保护 只需点击几下,即可在Web上开启 HTTPS保护
HTTPS/2保护 使用 HTTP / 2 保护Web ×
非标准端口保护 可对经过标准端口 80、8080、443 以及 8443 以外的端口流量进行保护 ×
智能负载平衡 连接多个 SLB 服务节点,以实现自动灾难恢复和低延迟的最优路由选择
专属IP地址 提供专用IP地址以保护特定域名
专属集群 基于业务需求定制服务访问和保护功能 × × ×
保护规则引擎 防止常见的网络攻击,如 SQL 注入和 XSS 攻击
针对Web零日漏洞启用保护规则的自动更新
自定义保护规则组 自定义保护规则组 ×
大数据深度学习引擎 检出Web的零日(0day)漏洞 ×
积极安全模式 基于对Web网站流量的深度学习,提供动态防御功能 × ×
防止Web网站篡改 锁定网页,防止内容被篡改
防止数据泄漏 防止身份证号码、手机号码和银行卡号码等敏感数据泄露
HTTP泛洪攻击保护 预防或预防应急模式下的普通HTTP 泛洪攻击
黑名单 阻止来自特定IP地址或CIDR  Block的访问请求
阻止来自特定IP地址、特定的CIDR block或特定区域的IP地址的访问请求 ×
扫描保护 封锁经常发起Web攻击和路径遍历的 IP地址以及常见扫描工具的IP地址,提供协调性保护(默认规则用于阻止第一类IP地址)
支持上述保护功能,定制针对高频率的Web攻击和路径遍历的拦截规则 ×
定制保护策略 利用诸如IP、URL、来源网站、用户代理、参数等基本项,实现基于ACL的访问控制
使用基本项和详细设定,支持基于ACL的访问控制( 详细设定包括Cookie、Content-Type、Header、HTTP-Method) ×
根据IP地址和会话制定访问频次限制策略(设定特定的监测条件条件并设置访问频次规则以应对一定HTTP泛洪攻击) ×
根据IP地址、项和自定义项制访问频次规则 × ×
管理数据风险 保护注册、登录、活动和论坛等重要网站服务免受欺诈
允许爬虫访问 维护由Google、Bing、Baidu 和 Yandex 等被认可的搜索引擎组成的白名单(来自于这些搜索引擎的爬虫可访问指定域名)
机器人威胁情报 提供有关数据中心和恶意扫描程序使用的可疑IP地址信息(另外,维护恶意的爬虫IP地址库,防止爬虫访问某个域名或特定目录下的所有网页)
保护应用程序 为本地应用程序提供安全连接和防机器人保护(识别来自代理服务器和模拟器的请求以及带无效签名的请求)
账户安全 检出针对服务端点的SMS泛洪攻击。如字典攻击、暴力破解、垃圾用户注册、弱密码、注册端点和登录端点等
WAF的日志服务 收集和存储所有日志,实现近乎实时的查询和分析,并提供在线报告 ×

结语

Alibaba Cloud WAF为SaaS型,所以它也可以使用于Alibaba Cloud以外的内部云的基础设施环境中。由于它与其他平台的多云兼容,具有非常高的通用性。

ブログ 一覧ページへ