Finalización de los puntos de conocimiento del firewall de la aplicación web (para revisión de la entrevista)

Others 2020-04-18 21:22:07 views: null

1. Introducción a WAF simple
image.png
image.pngimage.png

Segundo, tubería WAF

Lo que ve arriba es la capa de motor de WAF. De hecho, WAF también tiene una capa de [Pipe] (consola de administración de configuración).

La tubería es para interactuar con usuarios y expertos en seguridad (operación y mantenimiento). Los usuarios configuran nombres de dominio, configuran protección, configuran reglas para expertos en seguridad, emiten reglas, etc.

La resolución del nombre de dominio implementado se entrega a la capa del motor y las reglas se entregan a la capa del motor.

Tres, diagrama de arquitectura de tuberías
image.png
image.png

Cuarto, la gestión de nombres de dominio.

Configuración del sitio web: modo de configuración DNS, modo proxy transparente.

Modo de configuración de DNS: al modificar el método de resolución de nombre de dominio, el tráfico de acceso del nombre de dominio protegido se dirige a WAF; WAF reenvía la solicitud procesada al servidor de origen de acuerdo con la dirección del servidor de origen configurada por el nombre de dominio.

Modo proxy transparente: el tráfico del protocolo HTTP recibido por el puerto IP público 80 del servidor del sitio fuente configurado se extrae directamente a WAF, y luego el tráfico de acceso normal se inyecta nuevamente al servidor fuente después de que WAF lo procese.

El modelo de proxy transparente WAF cumple las condiciones:

  1. El ejemplo WAF es un modelo mensual y mensual;

  2. El servidor de origen se implementa en Alibaba Cloud ECS, y la instancia de ECS se encuentra en el norte de China 2 (Beijing);

  3. La instancia de ECS del sitio fuente tiene una IP de red pública o una IP de red pública elástica (EIP);

Modo de configuración de DNS: DNS sin resolución en la nube, DNS con resolución en la nube.

DNS sin resolución en la nube (la resolución DNS del sitio web no está alojada en la resolución DNS de Alibaba Cloud):

  1. Los datos del sitio web configurado por el usuario se pasan a la tubería:
    2. La tubería verifica los parámetros. Convertido a rsPolicyMo (utilizado para almacenar en la base de datos de tuberías y datos de interacción del usuario), gfMo (utilizado para emitir servicios de defensa alta Ddos);
  2. Asignar Vip y Cname;
  3. Active el control de acceso preciso (acl) en la función de protección. La tubería solo guarda los datos en la base de datos de tuberías y luego la envía a Etcd. El motor extrae la configuración a Etcd. Todas las funciones de protección están en este modo incremental.
  4. Abra la protección de seguridad CC (cc) en la función de protección, y el proceso de tubería es el mismo que el anterior;
  5. Abra la protección contra ataques de aplicaciones WEB en la función de protección, y el proceso de tuberías es el mismo que el anterior;
  6. Llame a la interfaz de alta definición Ddos, y el usuario habilita la capacidad de protección básica de DDoS proporcionada por Alibaba Cloud de forma predeterminada a un máximo de 5 Gbps;
  7. Llame a la interfaz dns (interfaz interna) para resolver el nombre de dominio del usuario a la dirección de Cname asignada por Alibaba Cloud, y la dirección de Cname se resuelve a Vip (nombre de dominio de usuario-> Alibaba Cloud Cname-> Vip);
  8. Los datos relacionados con el nombre de dominio se guardan en la base de datos de administración;

Si uno de los enlaces sale mal, intente finalmente revertir el procesamiento, determine qué enlace está mal con el indicador y realice el procesamiento de reversión correspondiente.

Tanto los pasos como el procesamiento de datos en realidad tienen cierta complejidad.

La siguiente imagen es la conversión de datos del sitio web -> rsPolicyMo -> gfMo configurado por el usuario en ese momento, y las tuberías tienen una cierta complejidad en el procesamiento de muchos datos.
image.png
image.png
image.png

Modo de resolución en la nube (la resolución DNS del sitio web está alojada en la resolución DNS en la nube de Alibaba):

  1. Otras operaciones son consistentes con el modo de análisis sin nube.
  2. Invoque la interfaz de administración de resolución DNS de Alibaba Cloud Cloud para obtener la interfaz de la lista de registros de análisis para obtener el nombre de dominio del sitio web del usuario y la dirección IP del servidor de origen.
  3. Llame a la interfaz de administración de resolución DNS masiva de Alibaba Cloud para agregar interfaces de registro de resolución de lotes, actualizar los registros de resolución de nombre de dominio y reenviar las solicitudes del sitio web a WAF para su monitoreo.image.pngimage.png

Modo proxy transparente: se llama de acuerdo con las especificaciones de interfaz relacionadas con el drenaje interno del grupo, sin demasiada complejidad, y la complejidad de la gestión del ciclo de vida de Eip será mayor.

Pasos del ciclo de vida del Eip:
 1. Solicite primero la autorización del usuario y registre en la tabla del perfil del usuario después de la autorización (is_ecs_authorized = 1);
2. Llame a la API abierta de ECS para sincronizar el Eip del usuario autorizado, agregue un Eip nuevo, elimine el Eip anterior;
3. Primero Elimine el drenaje y luego elimine el Eip
4. Elimine el uid no autorizado de la tabla user_eip y elimine el drenaje correspondiente y Eip
5. Al eliminar el usuario, elimine el registro user_eip y el drenaje y Eip correspondientes.

Si hay un problema en cualquier enlace (interfaz remota), los datos de la tubería no se eliminan y se configuran en el estado eliminado. La siguiente tarea programada se procesa y se procesa manualmente después de múltiples fallas.

5. Relacionado con las reglas de tuberías

Relacionado con las reglas: agregar, eliminar, modificar y consultar reglas; agregar, eliminar, modificar y consultar grupos de reglas es una función de administración simple. El grupo de reglas realmente tiene un campo que contiene la clave principal de la regla.

Un grado relativamente alto de complejidad es la publicación de reglas:
1. Convierta todos los grupos de reglas y reglas en un gran registro;
2. Compare con la versión anterior del conjunto completo de conjuntos de reglas, compare qué reglas se agregan y cuáles se eliminan, Que se modifica;
3. Genere notas de lanzamiento, genere lotes de motor de acuerdo con el modo de lanzamiento (uno por uno, zona, región) (el estado del lote no se inicia, está en progreso ni se completa);
4. El motor extraerá regularmente las reglas, Se informará un número de versión. Cuando el motor está en un lote gris y el número de versión es menor que el número de versión del conjunto de reglas actual o igual a 0, el motor puede tirar;
5. La máquina maestra iniciará un hilo de consumo para cada tipo diferente de versión Modifique el estado del lote, el estado de arrastre del motor, inicie el siguiente lote y modifique el estado de la orden de liberación;
6. El estado de la orden de liberación en cualquier etapa puede pausarse, y la liberación manual y el procesamiento por lotes manual pueden usarse para continuar la liberación;
7. La orden de liberación se puede retirar en cualquier etapa, se mantienen las nuevas reglas para un tirón exitoso y las que no se han retirado ya no se retiran. El tirón es necesario para garantizar que se complete el tirón;
8. El motor que se está tirando puede saltarse;
9 Revertir significa establecer la última versión en la última versión y volver a lanzarla;
image.png

rzi2016
15 artículos originales publicados · Me gusta0 · Visitas 66
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/xrzi2015/article/details/105604518
Recomendado
Clasificación
Diario
Más
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)

Code World

© 2018 codetd.com