阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验

实验概述

越来越多的公司出于对成本和效率的考量，将业务部署在网站上。主机和网络的漏洞，给一些恶意访问提供了可乘之机，盗取网站的信息。比如：发生在2014年的索尼影业黑客入侵事件，黑客组织“和平卫士”（Guardians of Peace）公布索尼影业员工电邮，涉及公司高管薪酬和索尼非发行电影拷贝等内容，严重侵犯信息隐私和财产安全，形成恶劣影响。如下是新浪科技当时整理的索尼被攻击的全过程：

阿里云推出的Web应用防火墙服务，正是为了有效阻止类似的非法访问，降低网络风险。本实验提供了一台开通了DNS云解析功能的ECS，学员在阿里云管理控制台让域名接入WAF（Web应用防火墙）服务，即可验证接入WAF应用后的效果。

实验目标

1.学会将域名添加到WAF防护。

2.完成DNS云解析。

3.验证域名添加WAF操作后，源站IP变为WAF IP。

学前建议

1.懂得和域名有关的基础知识。

2.了解什么是DNS解析。

第 1 章：实验背景

1.1 背景知识

云盾 Web应用防火墙（Web Application Firewall, 简称 WAF）基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站的安全与可用性。

购买WAF后，把域名解析到Web应用防火墙提供的CNAME地址上，并配置源站服务器IP，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

产品优势

快速体验网站安全
无需安装任何软、硬件。

无需更改网站配置、代码。

只需修改DNS记录，五分钟实现网站Web安全。

强大Web防御能力

内置近千条安全防护规则，每周均有规则的新增和优化。

Web 0Day漏洞补丁修复，24小时内防护，全球同步。

专业攻防团队进行漏洞研究，捕获0Dday漏洞并生成防护规则。

通过大数据平台分析规则优化，整体误报率控制在十万分之一以内。

网站专属防护

支持业务精准防护、快速过滤恶意流量，如：保护管理后台、恶意IP封禁、特定URL加白等功能。

大数据安全能力

每日对数十亿条数据进行安全分析，提取规则，同步到所有用户，进行协同防御。

不断通过大数据分析丰富恶意IP库、恶意样本库，建立网站的可信源。

检测快、防护稳

一毫秒内检测攻击并防护生效，防护无延时。

新的防护规则一分钟内全球同步。

覆盖OWASP常见的10余种威胁攻击。

全年稳定在线可用。

高可靠、高可用的服务
全自动检测和攻击策略匹配，实时防护。

清洗服务可用性高达99.99%。

第 2 章：实验详情

2.1 实验资源

请点击页面左侧的实验资源，在左侧栏中，查看本次实验资源信息。

在弹出的左侧栏中，点击创建资源按钮，开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后，用户可以通过实验资源查看实验中所需的资源信息，例如：阿里云账号等。

2.2 域名接入Web应用防火墙实践

本小节主要介绍：在阿里云管理控制台对 Web应用防火墙进行域名配置。

点击左侧导航栏的实验资源，下拉框中点击前往控制台，
然后输入实验资源提供的子用户名称和子用户密码。完成后点击登录。
点击顶部导航栏处的产品与服务，下拉菜单中依次选择安全（云盾）—> Web应用防火墙。进入 Web应用防火墙管理控制台。
点击左侧网站配置，在填加网站步骤中，输入以下信息后，点击下一步。
（注：如已经存在，可先删除）
域名：www.xxxxxx（xxxxxx 表示实验资源提供的 Cname解析的域名信息）

协议类型：HTTP ；输入 80 端口

回源设置：勾选回源到IP ，输入实验资源提供的服务器ECS 的弹性IP

4. 为了使 Web应用防火墙生效，需要在 DNS 服务商处添加 Cname 记录。进入修改DNS解析步骤，复制如图中的 Cname 。
5.
5. 点击左侧导航处实验目录，下拉框中点击 2.1实验详情章节，执行以下操作,利用 DNS解析功能解析 Cname 。

1）主机记录： www；

2）记录值：在 Web应用防火墙页面复制的 Cname 值；

3）点击解析。

6. 切换到阿里云控制台，在修改DNS解析下，点击下一步。

然后点击返回网站列表。

说明：若您的源站在使用其它防火墙，请关闭或者将Web应用防火墙的IP加白。后面会有章节专门介绍如何在源站中将Web应用防火墙的IP加白。

8. 跳转页面后，DNS解析状态为正常。

9. 至此，域名配置操作已完成。下一步，验证接入WAF防护的效果。

2.3 接入Web应用防火墙效果体验

本小节主要介绍：验证网站在接入Web应用防火墙服务后受到Web攻击后的应对策略。

打开浏览器，输入 www.xxxxx （xxxxx 表示实验资源提供的域名信息）。页面展示已部署的网站。

说明：如果没有看到如下页面，请更换浏览器重试。

2. 模拟简单的 web 攻击命令，如下图，在 URL 后面增加红框内的后缀(wwww.xxx.com/?name=)，测试 web 攻击请求。页面提示 405 问题。证明域名在接入WAF应用后可以有效阻断 Web 攻击。

3.请打开本地的终端。

1）Mac用户：点击 Launchpad
在其他中，点击终端。

2）Windows用户：点击左下角的开始，在搜索框中输入 cmd。并回车运行。
3. 在弹出的终端中，输入如下命令。其中，xxxx 为接入WAF的域名，例如：www.aliyundemo.xin。通过结果，我们可以查看到通过 ping 域名方式获取的 IP 是WAF的IP地址，不再是云服务器 ECS 的 IP 地址。证明接入WAF已生效。

ping xxxxx

2.4 如何在源站中将Web应用防火墙的IP加白

本小节主要介绍：如何在源站中将Web应用防火墙的IP段添加白名单，允许回源IP访问源站。

说明：将WAF回源IP段加入云服务器ECS的安全组，并且只放行WAF回源IP段，有利于服务器的安全。

注意：本小节仅供阅读，不提供实验环境。

依次点击域名配置页面中的设置-产品信息，页面下方列出WAF回源IP段。此处选择其中一个IP段保存作为加白示范，如：121.43.18.0/24 。
执行如下步骤，进入安全组配置页面。

1）关闭上述弹框后，点击顶部导航栏处的产品与服务，下拉菜单中依次选择弹性计算 —> 云服务器ECS 。

2）点击左侧的实例，选择实验资源提供的地域，实例列表中点击目标实例的实例ID 。

3）点击左侧的本实例安全组，在点击安全组右侧的配置规则。

4）安全组规则页面中，点击右上角的添加安全组规则。

3. 弹框中输入以下信息配置安全组规则，完成后点击确定。

规则方向：入方向
授权策略：允许
协议类型：全部
优先级：1（优先级值越小，优先级越高）
授权类型：地址段访问
授权对象：之前WAF回源IP段中选择保存的一个IP段

此时，安全组添加完成，也就是源站加白成功。