实验概述
越来越多的公司出于对成本和效率的考量,将业务部署在网站上。主机和网络的漏洞,给一些恶意访问提供了可乘之机,盗取网站的信息。比如:发生在2014年的索尼影业黑客入侵事件,黑客组织“和平卫士”(Guardians of Peace)公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容,严重侵犯信息隐私和财产安全,形成恶劣影响。如下是新浪科技当时整理的索尼被攻击的全过程:
阿里云推出的Web应用防火墙服务,正是为了有效阻止类似的非法访问,降低网络风险。本实验提供了一台开通了DNS云解析功能的ECS,学员在阿里云管理控制台让域名接入WAF(Web应用防火墙)服务,即可验证接入WAF应用后的效果。
实验目标
1.学会将域名添加到WAF防护。
2.完成DNS云解析。
3.验证域名添加WAF操作后,源站IP变为WAF IP。
学前建议
1.懂得和域名有关的基础知识。
2.了解什么是DNS解析。
第 1 章:实验背景
1.1 背景知识
云盾 Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
购买WAF后,把域名解析到Web应用防火墙提供的CNAME地址上,并配置源站服务器IP,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
产品优势
快速体验网站安全
无需安装任何软、硬件。
无需更改网站配置、代码。
只需修改DNS记录,五分钟实现网站Web安全。
强大Web防御能力
内置近千条安全防护规则,每周均有规则的新增和优化。
Web 0Day漏洞补丁修复,24小时内防护,全球同步。
专业攻防团队进行漏洞研究,捕获0Dday漏洞并生成防护规则。
通过大数据平台分析规则优化,整体误报率控制在十万分之一以内。
网站专属防护
支持业务精准防护、快速过滤恶意流量,如:保护管理后台、恶意IP封禁、特定URL加白等功能。
大数据安全能力
每日对数十亿条数据进行安全分析,提取规则,同步到所有用户,进行协同防御。
不断通过大数据分析丰富恶意IP库、恶意样本库,建立网站的可信源。
检测快、防护稳
一毫秒内检测攻击并防护生效,防护无延时。
新的防护规则一分钟内全球同步。
覆盖OWASP常见的10余种威胁攻击。
全年稳定在线可用。
高可靠、高可用的服务
全自动检测和攻击策略匹配,实时防护。
清洗服务可用性高达99.99%。
第 2 章:实验详情
2.1 实验资源
请点击页面左侧的 实验资源 ,在左侧栏中,查看本次实验资源信息。
在弹出的左侧栏中,点击 创建资源 按钮,开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后,用户可以通过 实验资源 查看实验中所需的资源信息,例如:阿里云账号等。
2.2 域名接入Web应用防火墙实践
本小节主要介绍:在阿里云管理控制台对 Web应用防火墙进行域名配置。
- 点击左侧导航栏的 实验资源 ,下拉框中点击 前往控制台 ,
然后输入 实验资源 提供的 子用户名称 和 子用户密码 。完成后点击 登录 。
- 点击顶部导航栏处的 产品与服务 ,下拉菜单中依次选择 安全(云盾)—> Web应用防火墙 。进入 Web应用防火墙管理控制台。
- 点击左侧 网站配置 ,在 填加网站 步骤中,输入以下信息后,点击 下一步 。
(注:如已经存在,可先删除)
域名:www.xxxxxx(xxxxxx 表示 实验资源 提供的 Cname解析 的 域名信息)
协议类型:HTTP ;输入 80 端口
回源设置:勾选 回源到IP ,输入 实验资源 提供的 服务器ECS 的 弹性IP
4. 为了使 Web应用防火墙生效,需要在 DNS 服务商处添加 Cname 记录。进入 修改DNS解析 步骤,复制如图中的 Cname 。
5. 
5. 点击左侧导航处 实验目录 ,下拉框中点击 2.1实验详情 章节,执行以下操作,利用 DNS解析功能解析 Cname 。
1)主机记录: www;
2)记录值:在 Web应用防火墙 页面复制的 Cname 值;
3)点击 解析 。
6. 切换到阿里云控制台,在 修改DNS解析 下,点击 下一步 。
- 然后点击 返回网站列表 。
说明:若您的源站在使用其它防火墙,请关闭或者将Web应用防火墙的IP加白。后面会有章节专门介绍如何在源站中将Web应用防火墙的IP加白。
8. 跳转页面后,DNS解析状态为 正常。
9. 至此,域名配置操作已完成。下一步,验证接入WAF防护的效果。
2.3 接入Web应用防火墙效果体验
本小节主要介绍:验证网站在接入Web应用防火墙服务后受到Web攻击后的应对策略。
- 打开浏览器,输入 www.xxxxx (xxxxx 表示 实验资源 提供的 域名信息 )。页面展示已部署的网站。
说明:如果没有看到如下页面,请更换浏览器重试。
2. 模拟简单的 web 攻击命令,如下图,在 URL 后面增加红框内的后缀(wwww.xxx.com/?name=),测试 web 攻击请求。页面提示 405 问题。证明域名在接入WAF应用后可以有效阻断 Web 攻击。
3.请打开本地的终端。
1)Mac用户:点击 Launchpad
在 其他 中,点击 终端。
2)Windows用户:点击左下角的 开始 ,在搜索框中输入 cmd。并回车运行。
3. 在弹出的终端中,输入如下命令。其中,xxxx 为接入WAF的域名,例如:www.aliyundemo.xin。通过结果,我们可以查看到通过 ping 域名方式获取的 IP 是WAF的IP地址, 不再是云服务器 ECS 的 IP 地址。证明接入WAF已生效。
ping xxxxx
2.4 如何在源站中将Web应用防火墙的IP加白
本小节主要介绍:如何在源站中将Web应用防火墙的IP段添加白名单,允许回源IP访问源站。
说明:将WAF回源IP段加入云服务器ECS的安全组,并且只放行WAF回源IP段,有利于服务器的安全。
注意:本小节仅供阅读,不提供实验环境。
- 依次点击 域名配置 页面中的设置-产品信息 ,页面下方列出WAF回源IP段。此处选择其中一个IP段保存作为加白示范,如:121.43.18.0/24 。
- 执行如下步骤,进入安全组配置页面。
1)关闭 上述弹框后,点击顶部导航栏处的 产品与服务 ,下拉菜单中依次选择 弹性计算 —> 云服务器ECS 。
2)点击左侧的 实例 ,选择 实验资源 提供的 地域 ,实例列表中点击目标实例的 实例ID 。
3)点击左侧的 本实例安全组 ,在点击安全组右侧的 配置规则 。
4)安全组规则 页面中,点击右上角的 添加安全组规则 。
3. 弹框中输入以下信息配置安全组规则,完成后点击 确定 。
规则方向:入方向
授权策略:允许
协议类型:全部
优先级:1(优先级值越小,优先级越高)
授权类型:地址段访问
授权对象:之前WAF回源IP段中选择保存的一个IP段
此时,安全组添加完成,也就是源站加白成功。
