深入浅出，解读阿里云云盾WAF防护功能

在我第一天接触安全时，就被告之，没有绝对的安全，再经过一段时间深入学习后，又深刻的体会到，安全是以牺牲效率为代价的。想要既高效又安全，就需要有超强的处理性能。现在看来，要让安全真正起到其应有的作用，关键要看应用。以WAF为例，在当今的企业安全框架下，企业不但想要能看清楚访问我这个人是谁，还可以知道这个人在干些什么，正常访问的我们开门欢迎，搞破坏、偷东西的拒之门外。那么，云WAF安全技术在云计算的网络系统中，是如何实现的呢？下面让我来具体分析一下，如何通过云安全，对企业业务进行深度安全管理控制。今天我会用阿里云云盾WAF来做演示。

阿里云 云盾 Web应用防火墙（WAF）通过防御常见OWASP攻击、提供热补丁漏洞修复，网站业务的定制规则防护，从而成功保障网站Web应用的安全性与可用性。点击全面了解阿里云的云安全产品和服务。接下来，我们会从三个大家比较关注、或者比较特别的防护场景和功能切入。首先，我们会分析一下云盾WAF的CC攻击防护能力，而后，通过电商等行业常见的业务安全隐患，我们来看看云盾WAF是如何做到把Web防护和业务风控相结合；最后，再来看一下作为WAF的“心脏”，云盾WAF的智能语义检测引擎是如何发挥它的作用的？

CC防护分析

以前的DDoS攻击，通常采用SYN Flood UDP Flood等形式，攻击包的格式固定，攻击流量十分容易判断，相对也很好进行拦截。现在则有不同，CC攻击的方式与正常网络应用访问很难区分，只有通过一些细节才能准确进行断定，一但判断失误，反而会影响网络应用业务的正常运营。下面我们就来看一下云盾WAF在应对CC攻击的具体表现。

业务风控能力

还有一种威胁行为，也是很讨厌，那就是我也不进门，我就是往你们家里扔垃圾，生成一堆没用的用户信息在网站上进行注册，用户猛的一看很高兴，有这么多用户都过来了，实际一瞧，一个有用的都没有。而且有用没用的混杂在一起，你是清也不是，不清也不是，白白浪费资源。另外，在类似双十一这样的销售时间点，商家往往会发放一些优惠券、或组织很多优惠活动。而现在，这些优惠也已经成为黑客的关注目标。通过组织大规模的“薅羊毛”来非法获利。此外还有抢红包、恶意抢注等等一系列的恶意行为，往往会给商家带来了重大的经济损失。下面我们就来看一下 云盾WAF中的数据风控防护功能，是如何对这种行为进行阻止的。

智能语义功能验证

有些同学会问，我把上面的安全措施都做好后，我的网络就安全了吗？也不一定，只不过搞起来要相对复杂些罢了。还是打个比方，溜门撬锁这样的事情太明显，很容易就被发现，但是黑客装扮成正常用户，进你门后给你上点迷魂药，照样可以把你迷昏了，然后取而代之。这些迷魂药就是利用系统漏洞进行脚本注入。当然现在还有更高级的，通过命令行手工进行注入，那更是无色无味一般人根本查觉不了。对于这个威胁，就需要对深度内容进行分析，还需要有更加智能的逻辑判断能力，才可以进行防御。这也正是云盾WAF智能语义功能的特长所在。下面我们就来看一下，云盾WAF的智能语议功能，是如何对手工的命令行注入等payload行为，进行防护的。

HTTPS内容分析

行为分析、行为分析，我可以看到你的行为，才能对你进行分析。当前有很多加密传输协议也是如此。不加密吧，明文传输谁都可以看的见，不安全。加密吧，好的坏的又无法分辨，也是不行。怎么办？对加密内容同样进行分析！让我们最后来看一下云盾WAF是如何对加密内容进行分析的。

云计算的安全，给用户提供的不会再是单纯的防护，而是在不断的对网络应用行为进行深度分析后，对应用进行归纳、处理。对于正常的应用保持其正常运营，对恶意行为进行拦截、判断乃至于去溯源。只有抓住了网络威胁幕后的黑手，未来的网络才会有真正的安全可言。云盾的WAF还只是阿里云抓“黑手”的一个组成部分，以后我们把更多阿里云 云盾的安全防护手段介绍给大家，使得更多阿里云用户，可以通过聘请阿里云 云盾这个安全保镖，可以更好、更安全的实现云计算网络业务应用。