阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验
实验概述
越来越多的公司出于对成本和效率的考量,将业务部署在网站上。主机和网络的漏洞,给一些恶意访问提供了可乘之机,盗取网站的信息。比如:发生在2014年的索尼影业黑客入侵事件,黑客组织“和平卫士”(Guardians of Peace)公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容,严重侵犯信息隐私和财产安全,形成恶劣影响。如下是新浪科技当时整理的索尼被攻击的全过程:
阿里云推出的Web应用防火墙服务,正是为了有效阻止类似的非法访问,降低网络风险。本实验提供了一台开通了DNS云解析功能的ECS,学员在阿里云管理控制台让域名接入WAF(Web应用防火墙)服务,即可验证接入WAF应用后的效果。
实验目标
1.学会将域名添加到WAF防护。
2.完成DNS云解析。
3.验证域名添加WAF操作后,源站IP变为WAF IP。
学前建议
1.懂得和域名有关的基础知识。
2.了解什么是DNS解析。
第 1 章:实验背景
1.1 背景知识
云盾 Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
购买WAF后,把域名解析到Web应用防火墙提供的CNAME地址上,并配置源站服务器IP,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
产品优势
快速体验网站安全
无需安装任何软、硬件。
无需更改网站配置、代码。
只需修改DNS记录,五分钟实现网站Web安全。
强大Web防御能力
内置近千条安全防护规则,每周均有规则的新增和优化。
Web 0Day漏洞补丁修复,24小时内防护,全球同步。
专业攻防团队进行漏洞研究,捕获0Dday漏洞并生成防护规则。
通过大数据平台分析规则优化,整体误报率控制在十万分之一以内。
网站专属防护
支持业务精准防护、快速过滤恶意流量,如:保护管理后台、恶意IP封禁、特定URL加白等功能。
大数据安全能力
每日对数十亿条数据进行安全分析,提取规则,同步到所有用户,进行协同防御。
不断通过大数据分析丰富恶意IP库、恶意样本库,建立网站的可信源。
检测快、防护稳
一毫秒内检测攻击并防护生效,防护无延时。
新的防护规则一分钟内全球同步。
覆盖OWASP常见的10余种威胁攻击。
全年稳定在线可用。
高可靠、高可用的服务
全自动检测和攻击策略匹配,实时防护。
清洗服务可用性高达99.99%。
第 2 章:实验详情
2.1 实验资源
请点击页面左侧的 实验资源 ,在左侧栏中,查看本次实验资源信息。
在弹出的左侧栏中,点击 创建资源 按钮,开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后,用户可以通过 实验资源 查看实验中所需的资源信息,例如:阿里云账号等。
2.2 域名接入Web应用防火墙实践
本小节主要介绍:在阿里云管理控制台对 Web应用防火墙进行域名配置。
- 点击左侧导航栏的 实验资源 ,下拉框中点击 前往控制台 ,
然后输入 实验资源 提供的 子用户名称 和 子用户密码 。完成后点击 登录 。
- 点击顶部导航栏处的 产品与服务 ,下拉菜单中依次选择 安全(云盾)—> Web应用防火墙 。进入 Web应用防火墙管理控制台。
- 点击左侧 网站配置 ,在 填加网站 步骤中,输入以下信息后,点击 下一步 。
(注:如已经存在,可先删除)
域名:www.xxxxxx(xxxxxx 表示 实验资源 提供的 Cname解析 的 域名信息)
协议类型:HTTP ;输入 80 端口
回源设置:勾选 回源到IP ,输入 实验资源 提供的 服务器ECS 的 弹性IP
4. 为了使 Web应用防火墙生效,需要在 DNS 服务商处添加 Cname 记录。进入 修改DNS解析 步骤,复制如图中的 Cname 。
5.
5. 点击左侧导航处 实验目录 ,下拉框中点击 2.1实验详情 章节,执行以下操作,利用 DNS解析功能解析 Cname 。
1)主机记录: www;
2)记录值:在 Web应用防火墙 页面复制的 Cname 值;
3)点击 解析 。
6. 切换到阿里云控制台,在 修改DNS解析 下,点击 下一步 。
- 然后点击 返回网站列表 。
说明:若您的源站在使用其它防火墙,请关闭或者将Web应用防火墙的IP加白。后面会有章节专门介绍如何在源站中将Web应用防火墙的IP加白。
8. 跳转页面后,DNS解析状态为 正常。
9. 至此,域名配置操作已完成。下一步,验证接入WAF防护的效果。
2.3 接入Web应用防火墙效果体验
本小节主要介绍:验证网站在接入Web应用防火墙服务后受到Web攻击后的应对策略。
- 打开浏览器,输入 www.xxxxx (xxxxx 表示 实验资源 提供的 域名信息 )。页面展示已部署的网站。
说明:如果没有看到如下页面,请更换浏览器重试。
2. 模拟简单的 web 攻击命令,如下图,在 URL 后面增加红框内的后缀(wwww.xxx.com/?name=),测试 web 攻击请求。页面提示 405 问题。证明域名在接入WAF应用后可以有效阻断 Web 攻击。
3.请打开本地的终端。
1)Mac用户:点击 Launchpad
在 其他 中,点击 终端。
2)Windows用户:点击左下角的 开始 ,在搜索框中输入 cmd。并回车运行。
3. 在弹出的终端中,输入如下命令。其中,xxxx 为接入WAF的域名,例如:www.aliyundemo.xin。通过结果,我们可以查看到通过 ping 域名方式获取的 IP 是WAF的IP地址, 不再是云服务器 ECS 的 IP 地址。证明接入WAF已生效。
ping xxxxx
2.4 如何在源站中将Web应用防火墙的IP加白
本小节主要介绍:如何在源站中将Web应用防火墙的IP段添加白名单,允许回源IP访问源站。
说明:将WAF回源IP段加入云服务器ECS的安全组,并且只放行WAF回源IP段,有利于服务器的安全。
注意:本小节仅供阅读,不提供实验环境。
- 依次点击 域名配置 页面中的设置-产品信息 ,页面下方列出WAF回源IP段。此处选择其中一个IP段保存作为加白示范,如:121.43.18.0/24 。
- 执行如下步骤,进入安全组配置页面。
1)关闭 上述弹框后,点击顶部导航栏处的 产品与服务 ,下拉菜单中依次选择 弹性计算 —> 云服务器ECS 。
2)点击左侧的 实例 ,选择 实验资源 提供的 地域 ,实例列表中点击目标实例的 实例ID 。
3)点击左侧的 本实例安全组 ,在点击安全组右侧的 配置规则 。
4)安全组规则 页面中,点击右上角的 添加安全组规则 。
3. 弹框中输入以下信息配置安全组规则,完成后点击 确定 。
规则方向:入方向
授权策略:允许
协议类型:全部
优先级:1(优先级值越小,优先级越高)
授权类型:地址段访问
授权对象:之前WAF回源IP段中选择保存的一个IP段
此时,安全组添加完成,也就是源站加白成功。
阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验相关推荐
- 阿里云安全ACP认证考试实验之云盾之云安全中心与态势感知入门体验
"更多玩转云产品" 1.实验概述 通过本实验可对云安全中心,态势感知的一些基本操作有深入了解以及如何来对实例进行安全监控 2.实验目标 完成此实验可以掌握的能力有: 在安骑士中添加 ...
- 阿里acp认证是什么 阿里acp认证含金量高吗
很多人互联网的从业人员有时候都不是清楚阿里acp认证是什么,阿里acp认证含金量高吗?做为一个企业推出的资格认证,阿里acp认证的含金量是很高的.由于阿里云在国内市场的领先地位,他们推出的认证资格在市 ...
- 阿里云计算acp认证报考条件及需要具备的知识
小伙伴们,今天认证大使小编给大家介绍阿里云计算acp认证的报考条件,阿里云计算acp认证需要具备的知识.这些知识都是对你们有帮助的知识,希望大家认真了解这些内容. 阿里云计算acp认证 acp认证是什 ...
- 简单了解阿里云Web应用防火墙(下篇)
产品优势 五分钟体验网站安全 无需安装任何软.硬件. 无需更改网站配置.代码. 只需修改DNS记录,五分钟实现网站Web安全. 强大Web防御能力 内置近千条安全防护规则,每周均有规则的新增和优化. ...
- 阿里云Web应用防火墙产品优势与使用场景
Web应用防火墙(Web Application Firewall, 简称 WAF), 是阿里基于10余年攻防经验完全自主研发的安全产品.其基于云安全大数据能力实现,通过防御SQL注入.XSS跨站脚本 ...
- 阿里云Web应用防火墙使用教程
课程介绍 Web应用防火墙(Web Application Firewall, 简称 WAF), 是阿里基于10余年攻防经验完全自主研发的安全产品.其基于云安全大数据能力实现,通过防御SQL注入.XS ...
- 天翼云Web应用防火墙(边缘云版)通过首批可信认证
6月24日,中国信息通信研究院主办的首届业务与应用安全发展论坛在线上顺利举办.会上,由信通院牵头筹备的"业务安全推进计划"正式宣布成立,作为首批成员单位,天翼云参与信通院<云 ...
- 腾讯云Web应用防火墙有什么用?Web应用防火墙是防御原理介绍
腾讯云Web应用防火墙有什么用?Web应用防火墙是防御原理介绍 腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫 ...
- 腾讯云Web应用防火墙有什么用?Web应用防火墙是怎么防御网络攻击的?
腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫恶意爬取.漏洞暴露.Web 入侵及数据泄露.网站被篡改或植入.域 ...
最新文章
- C#使用CDO发送邮件
- 《树莓派Python编程指南》——2.3 小结
- python Elasticsearch 排序
- 二分法分页 mysql_LeetCode 04寻找两个正序数组的中位数(困难)二分法
- (十三)react hooks
- Linux / Windows应用方案不完全对照表
- 使用栈解决的一类经典问题:表达式转换及求值;中缀表达式;前缀表达式,后缀表达式,中缀转前缀;中缀转后缀;后缀表达式求值;波兰式,逆波兰式
- 最近很火的夏日便捷小空调源码(小程序版)
- 分布式面试 - 分布式锁的常见问题
- 计算机控制技术摘要,计算机控制技术摘要.ppt
- 权限判断 java_一个简单的关于权限判断登陆的javaBean文件
- stm32可以移植linux系统吗,如何在STM32上移植Linux?超详细的实操经验分享
- 引入方式之外部样式表(CSS、HTML)
- OpenCV算法精解1--OpenCV中C++基本操作1
- petalinux 安装
- OSChina 周六乱弹 ——备误操作删库,还需要你恢复!
- FTP 打开文件夹提示该文件没有程序与之关联来执行该操作 请在控制面板的文件夹选项中创建关联
- 网格布局(固定单元格间隔,单元格、容器大小不定)布局使用
- 智课雅思词汇---二十六、形容词后缀-ble
- Python爬虫之XPath基础教程:用代码抓取网页数据
热门文章
- 牛客 华华听月月唱歌 贪心
- Android Studio怎么把查看代码的左箭头、右箭头图标加到右边的快捷工具栏
- Inferred type 'S' for type parameter 'S' is not within its bound
- 【Arduino 连接 SD 卡模块实现数据读写】
- 使用Arduino读取RC接收机PWM信号的三种方式
- Windows下自动同步工具SyncToy的使用与定时执行部署
- Redis Scard 命令
- 苹果手机上网很慢_手机4G信号满格,上网速度却很慢?原来都是它们在“搞鬼”...
- 平衡电枢磁性扬声器行业调研报告 - 市场现状分析与发展前景预测
- 159.Vue实现个人博客(七)【Vue2.0-路由参数】 2019.03.15