1. Simple WAFの概要
二、WAF-配管
上記はWAFのエンジンレイヤーですが、WAFには[パイプ](構成管理コンソール)のレイヤーもあります。
配管とは、ユーザーやセキュリティの専門家(操作と保守)と対話することです。ユーザーは、ドメイン名の構成、保護の構成、セキュリティエキスパートのルールの構成、ルールの発行などを行います。
実装されたドメイン名解決はエンジン層に配信され、ルールはエンジン層に配信されます。
3、配管アーキテクチャ図
第四に、ドメイン名の管理
ウェブサイト構成:DNS構成モード、透過プロキシモード。
DNS構成モード:ドメイン名解決を変更することにより、保護されたドメイン名のアクセストラフィックはWAFに送信され、WAFはドメイン名で構成されたソースサーバーアドレスに従って、処理された要求をソースサーバーに転送します。
透過プロキシモード:構成されたソースサイトサーバーのパブリックIPポート80によって受信されたHTTPプロトコルトラフィックは、WAFに直接プルされ、WAFによって処理された後、通常のアクセストラフィックがソースサーバーに注入されます。
WAF透過プロキシモデルは次の条件を満たす。
-
WAFの例は、月次モデルと月次モデルです。
-
ソースサーバーはAlibaba Cloud ECSにデプロイされ、ECSインスタンスは中国北部2(北京)にあります。
-
ソースサイトのECSインスタンスには、パブリックネットワークIPまたはバインドされたエラスティックパブリックネットワークIP(EIP)があります。
DNS構成モード:非クラウド解決DNS、クラウド解決DNS。
非クラウド解決DNS(ウェブサイトのDNS解決はAlibaba CloudのDNS解決でホストされていません):
- ユーザー設定のウェブサイトデータがパイピングに渡されます;
2.パイピングはパラメーターをチェックします。rsPolicyMo(パイピングデータベースに格納するために使用されます)、およびgfMo(Ddos高防御サービスを発行するために使用されます)に変換されます。 - VIPとCNAMEを割り当てます。
- 保護機能で精密アクセス制御(acl)をオンにします。パイピングは、データをパイピングデータベースに保存してからEtcdに送信するだけです。エンジンは構成をEtcdにプルします。すべての保護機能はこの増分モードです。
- 保護機能でCC安全保護(cc)を開きます。配管プロセスは上記と同じです。
- 保護機能でWEBアプリケーションの攻撃保護を開きます。パイピングプロセスは上記と同じです。
- Ddos高解像度インターフェイスを呼び出すと、ユーザーはAlibaba Cloudが提供するDDoSの基本的な保護機能をデフォルトで最大5Gbpsで有効にします。
- dnsインターフェース(内部インターフェース)を呼び出して、ユーザードメイン名をAlibaba Cloudによって割り当てられたCnameアドレスに解決します。CnameアドレスはVipに解決されます(ユーザードメイン名-> Alibaba Cloud Cname-> Vip)。
- ドメイン名に関連するデータは管理データベースに保存されます。
リンクの1つに問題が発生した場合は、最終的に処理をロールバックし、フラグによってエラーのあるリンクを特定し、対応するロールバック処理を実行してください。
データのステップと処理の両方は、実際には特定の複雑さを持っています。
以下の図は、その時点でユーザーによって構成されたWebサイトデータの変換—> rsPolicyMo —> gfMoであり、パイプ処理では多くのデータの処理がある程度複雑になります。
クラウド解決モード(ウェブサイトのDNS解決はAlibaba Cloud DNS解決でホストされます):
- その他の操作は、非クラウド分析モードと一貫しています。
- Alibaba Cloud Cloud DNS解決管理インターフェイスを呼び出して、分析レコードリストインターフェイスを取得し、ユーザーのウェブサイトのドメイン名とソースサーバーのIPアドレスを取得します。
- Alibaba Cloudの一括DNS解決管理インターフェイスを呼び出して、バッチ解決レコードインターフェイスを追加し、ドメイン名解決レコードを更新し、監視のためにWebサイト要求をWAFに転送します。
透過プロキシモード:複雑すぎずに、グループの内部排水関連のインターフェース仕様に従って呼び出されます。Eipのライフサイクル管理の複雑さが大きくなります。
Eipライフサイクルの手順:
1.最初にユーザー認証を要求し、認証後にuser_profileテーブルに記録します(is_ecs_authorized = 1);
2. ECS open apiを呼び出して、認証されたユーザーのEip を同期し、新しいEipを追加し、古いEipを削除します;
3.最初に排水を削除して
からEipを削除します; 4. user_eipテーブルから無許可のuidを削除し、対応する排水と
Eipを削除します5.ユーザーを削除するときに、user_eipレコードと対応する排水とEipを削除します。
リンク(リモートインターフェース)に問題がある場合、パイピングのデータは削除されず、削除済みの状態に設定されます。次のスケジュールされたタスクが処理され、複数の失敗後に手動で処理されます。
5.配管ルールに関連
ルールに関連する:ルールの追加、削除、変更、クエリ、ルールグループの追加、削除、変更、クエリは簡単な管理機能です。ルールグループには、実際にはルールの主キーを保持するフィールドがあります。
比較的高度な複雑さは、ルールのリリースです:
1.すべてのルールグループとルールを1つの大きなレコードにします;
2.ルールセットの完全なセットの以前のバージョンと比較し、追加されたルールと削除されたルールを比較します。変更されたもの;
3.リリースノートを生成し、リリースモードに従ってエンジンバッチを生成します(1つずつ、ゾーン、リージョン)(バッチステータスは開始されておらず、進行中、完了しています);
4.エンジンは定期的にルールをプルします。バージョン番号が報告されます。エンジンが灰色のバッチであり、バージョン番号が現在のルールセットのバージョン番号より小さいか0の場合、エンジンはプルを許可されます
。5。マスターマシンは、異なるタイプのバージョンごとにコンシューマスレッドを開始し、リスニングします/バッチのステータス、エンジンのプルステータスを変更し、次のバッチを開始し、リリースオーダーのステータスを変更します
。6。任意の段階でのリリースオーダーのステータスを一時停止でき、手動リリースと手動バッチを使用してリリースを続行できます
。7。解放の順序はどの段階でも取り消すことができ、成功したプルの新しいルールが維持され、プルされなかったルールはプルされなくなります。プルは、プルが完了したことを確認するために必要です
。8。プルされているエンジンはスキップできます
。9 。ロールバックとは、最後のリリースを最新のリリースに設定し、再度リリースすることを意味します。
