【中国】关于Alibaba Cloud的WAF服务【云安全】
博客
大家好!我是技术销售部的大原。
本文将介绍阿里云(Alibaba Cloud)提供的WAF服务—— 阿里云Web应用防火墙(Alibaba Cloud WAF)的特点和功能。
※本文基于2021年的国际版Alibaba Cloud WAF写成。
Alibaba Cloud云安全服务的历史
Alibaba Cloud致力于开发安全防护产品,以保护Alibaba Cloud的服务免受各种外部网络攻击。
其安防产品之一的阿里云Web应用防火墙——Alibaba Cloud WAF(Web Application Firewall),是Alibaba Cloud基于十多年的安防经验而开发出的,并扎根于大数据技术的具备高度防御机制的进化型服务。
Alibaba Cloud WAF服务的概要
Alibaba Cloud WAF不仅可以安装在Alibaba Cloud上,对于在本地部署(On-Premise)、VPS(虚拟专用服务器)、以及其他云服务商所提供的服务器上的系统,也仅需要切换DNS 即可安装,而不受安装的基础设施环境的限制。
■Web应用程序保护
●防御零日(0day)攻击
・通过在24小时内动态更新防御规则,可迅速应对风险。
●网站隐藏
・通过在DNS前端添加WAF对网络流量进行迂回导向,隐藏并保护网站不受入侵者的攻击。
●防御OWASP攻击
・提供各种防护规则和检控功能,能够正确判断并防御SQL注入等已知攻击。
■网站访问控制
●添加HTTPS功能
・只需上传私有密钥文件,即可为网站添加 HTTPS 功能。
●控制访问
・通过多层保护,可迅速发现为入侵做准备的信息收集活动并对其进行拦截或封禁。
■高精度流量分析
●准确判断恶意访问
・能够准确识别通过机器人等手法的恶意访问,并在其被封锁时进行评估。
●自定义策略
・可根据需要自由地更改和更新防御规则。
Alibaba Cloud WAF的功能(按版本分类)
Alibaba Cloud WAF有4个版本,具体可以根据处理能力、防御功能和应用场景来进行选择。
例如,您可以从Professional版本开始使用,然后伴随Web访问量的增加可以选择更换版本,可以根据自己的用途和情况灵活地进行扩展。
| 特点 | 概要 | Pro Edition | Business Edition | Enterprise Edition | Exclusive Edition (submit tickets to purchase) |
| 峰值请求率 | – | 2,000 QPS | 5,000 QPS | 高于10,000 QPS | 5,000 QPS |
| 最大带宽 | 源服务器部署在Alibaba Cloud上的情况 | 50 Mbit/秒 | 100 Mbit/秒 | 200 Mbit/秒 | 100 Mbit/秒 |
| 源服务器未部署在Alibaba Cloud上的情况 | 10 Mbit/秒 | 30 Mbit/秒 | 50 Mbit/秒 | 30 Mbit/秒 | |
| 默认支持的最大域数 | – | 1 | 1 | 1 | 1,000 |
| 默认支持的最大子域数 | 支持通配符域 | 10 | 10 | 10 | 1,000 |
| HTTPS保护 | 只需点击几下,即可在Web上开启 HTTPS保护 | ✓ | ✓ | ✓ | ✓ |
| HTTPS/2保护 | 使用 HTTP / 2 保护Web | × | ✓ | ✓ | ✓ |
| 非标准端口保护 | 可对经过标准端口 80、8080、443 以及 8443 以外的端口流量进行保护 | × | ✓ | ✓ | ✓ |
| 智能负载平衡 | 连接多个 SLB 服务节点,以实现自动灾难恢复和低延迟的最优路由选择 | ○ | ○ | ○ | ○ |
| 专属IP地址 | 提供专用IP地址以保护特定域名 | ○ | ○ | ○ | ○ |
| 专属集群 | 基于业务需求定制服务访问和保护功能 | × | × | × | ✓ |
| 保护规则引擎 | 防止常见的网络攻击,如 SQL 注入和 XSS 攻击 | ✓ | ✓ | ✓ | ✓ |
| 针对Web零日漏洞启用保护规则的自动更新 | ✓ | ✓ | ✓ | ✓ | |
| 自定义保护规则组 | 自定义保护规则组 | × | ✓ | ✓ | ✓ |
| 大数据深度学习引擎 | 检出Web的零日(0day)漏洞 | × | ✓ | ✓ | ✓ |
| 积极安全模式 | 基于对Web网站流量的深度学习,提供动态防御功能 | × | × | ✓ | ✓ |
| 防止Web网站篡改 | 锁定网页,防止内容被篡改 | ✓ | ✓ | ✓ | ✓ |
| 防止数据泄漏 | 防止身份证号码、手机号码和银行卡号码等敏感数据泄露 | ✓ | ✓ | ✓ | ✓ |
| HTTP泛洪攻击保护 | 预防或预防应急模式下的普通HTTP 泛洪攻击 | ✓ | ✓ | ✓ | ✓ |
| 黑名单 | 阻止来自特定IP地址或CIDR Block的访问请求 | ✓ | ✓ | ✓ | ✓ |
| 阻止来自特定IP地址、特定的CIDR block或特定区域的IP地址的访问请求 | × | ✓ | ✓ | ✓ | |
| 扫描保护 | 封锁经常发起Web攻击和路径遍历的 IP地址以及常见扫描工具的IP地址,提供协调性保护(默认规则用于阻止第一类IP地址) | ✓ | ✓ | ✓ | ✓ |
| 支持上述保护功能,定制针对高频率的Web攻击和路径遍历的拦截规则 | × | ✓ | ✓ | ✓ | |
| 定制保护策略 | 利用诸如IP、URL、来源网站、用户代理、参数等基本项,实现基于ACL的访问控制 | ✓ | ✓ | ✓ | ✓ |
| 使用基本项和详细设定,支持基于ACL的访问控制( 详细设定包括Cookie、Content-Type、Header、HTTP-Method) | × | ✓ | ✓ | ✓ | |
| 根据IP地址和会话制定访问频次限制策略(设定特定的监测条件条件并设置访问频次规则以应对一定HTTP泛洪攻击) | × | ✓ | ✓ | ✓ | |
| 根据IP地址、项和自定义项制访问频次规则 | × | × | ✓ | ✓ | |
| 管理数据风险 | 保护注册、登录、活动和论坛等重要网站服务免受欺诈 | ○ | ○ | ○ | ○ |
| 允许爬虫访问 | 维护由Google、Bing、Baidu 和 Yandex 等被认可的搜索引擎组成的白名单(来自于这些搜索引擎的爬虫可访问指定域名) | ○ | ○ | ○ | ○ |
| 机器人威胁情报 | 提供有关数据中心和恶意扫描程序使用的可疑IP地址信息(另外,维护恶意的爬虫IP地址库,防止爬虫访问某个域名或特定目录下的所有网页) | ○ | ○ | ○ | ○ |
| 保护应用程序 | 为本地应用程序提供安全连接和防机器人保护(识别来自代理服务器和模拟器的请求以及带无效签名的请求) | ○ | ○ | ○ | ○ |
| 账户安全 | 检出针对服务端点的SMS泛洪攻击。如字典攻击、暴力破解、垃圾用户注册、弱密码、注册端点和登录端点等 | ✓ | ✓ | ✓ | ✓ |
| WAF的日志服务 | 收集和存储所有日志,实现近乎实时的查询和分析,并提供在线报告 | × | ○ | ○ | ○ |
结语
Alibaba Cloud WAF为SaaS型,所以它也可以使用于Alibaba Cloud以外的内部云的基础设施环境中。由于它与任何平台的多云兼容,具有非常高的通用性。