Penjelasan terperinci mengenai fungsi WAF firewall aplikasi web Tencent Cloud: Bagaimana memasang lapisan pertahanan di laman web anda?
Sekiranya anda membuka pusat membeli-belah dalam talian atau mengendalikan laman web rasmi korporat, anda mungkin menemui pelbagai "pelawat" yang pelik:
Sebilangan pelawat adalah perkara biasa, memilih produk dan membuat pesanan; tetapi beberapa "pelawat" mengambil pelbagai kunci pelik sebaik sahaja memasuki pintu untuk menikam kunci kod latar belakang anda (retak ganas); yang lain memasukkannya ke dalam kotak carian Rentetan kod yang tidak dapat difahami oleh siapa pun, cuba buat pangkalan data anda mengeluarkan nombor kad bank dan kata laluan semua pengguna (suntikan SQL); ada juga yang mengupah sebilangan besar "skrip automasi robot" yang sejuk untuk mendapatkan kupon anda dengan serta-merta (berniat jahat) Pesanan).
Menghadapi serangan "peri fight" ini khusus untuk lapisan aplikasi (perniagaan web), firewall rangkaian tradisional seperti penjaga pintu yang hanya melihat kad pengenalan, dan tidak ada yang dapat dilakukan. Kerana penggodam memakai pakaian pengguna biasa dan menggunakan port 80 atau 443 yang sah.
Pada masa ini, anda memerlukan "perisai badan pintar" yang maju --
Tencent Cloud Web Application Firewall (WAF)
。 Hari ini, kami akan menggunakan perspektif orang sebenar yang popular dan berasas untuk membawa anda untuk membongkar secara mendalam kemahiran mengurus rumah tangga Tencent Cloud WAF dan bagaimana ia melindungi keselamatan laman web kami.
1. Mengapa saya perlu membeli WAF dengan IP pertahanan tinggi?
Sebelum membincangkan fungsi, pertama-tama kami membantu pemula untuk menjelaskan konsep yang sangat membingungkan:
Apakah perbezaan antara IP pertahanan tinggi dan WAF?
Secara ringkas, ini adalah dua dimensi perlindungan:
IP pertahanan tinggi menyekat "pengeboman ganas" (DDoS): ia tergolong dalam lapisan rangkaian. Penggodam mengupah puluhan ribu orang untuk menyekat pintu anda, dan IP pertahanan tinggi bertanggungjawab untuk melebarkan jalan dan menyekat samseng di sudut jalan, memperjuangkan lebar jalur dan ketahanan fizikal.
Pertahanan WAF adalah "penyusupan ejen" (serangan lapisan aplikasi): ia tergolong dalam lapisan aplikasi. Penggodam hanya menghantar satu orang, tetapi dia berpura-pura menjadi pelanggan biasa, menyembunyikan racun dan membuka kunci alat di tangannya, cuba menjatuhkan anda dari dalam. WAF bertanggungjawab untuk pencarian badan, pemeriksaan keselamatan, dan penyamaran.
Oleh itu, jika laman web anda bukan sahaja takut lumpuh oleh lalu lintas, tetapi juga takut bahawa pangkalan data akan diseret, halaman web akan dirusak, dan antara muka akan habis, maka WAF adalah suatu keharusan bagi anda.
2. Pembongkaran inti dari empat fungsi utama Tencent Cloud WAF
Tencent Cloud WAF mempunyai banyak fungsi, tetapi intinya dapat diringkaskan menjadi empat kekuatan tempur utama. Mari kita lihat bagaimana ia berfungsi dalam pertempuran sebenar satu persatu.
1. Perlindungan serangan Web: lihat melalui "penyamaran" penggodam
Ini adalah keupayaan WAF yang paling asas dan teras, khusus untuk menangani industri yang diiktiraf
OWASP Top 10 (10 kelemahan keselamatan web)
, Seperti suntikan SQL, skrip silang laman XSS, pintu belakang Trojan, dll.
Tencent Cloud WAF telah menyediakan dua pusat pemeriksaan di sini:
Peraturan Pangkalan Data Peraturan (padanan biasa): Pasukan keselamatan Tencent mengekalkan "senarai pesanan yang dikehendaki" yang sangat besar. Selagi permintaan itu mempunyai kod serangan yang diketahui
Ciri, pemintas segera.
Enjin pengesanan ancaman AI (mengetahui apa yang berlaku, dan mengetahui mengapa): Peraturan tradisional mudah dilewati oleh penggodam dengan mengubah huruf besar dan memasukkan watak khas (iaitu, "serangan kekeliruan"). Enjin AI yang dikembangkan sendiri oleh Tencent Cloud tidak hanya melihat ciri permukaan, ia akan melakukan "analisis leksikal" dan "pembongkaran pokok tatabahasa" permintaan, seperti membetulkan kerja rumah bahasa, tidak kira bagaimana penggodam menyamar, selagi logik ayat menyerang, AI Boleh dilihat sekilas.
2. Pengurusan lalu lintas Bot: tutup "Wool Party" dan "Bad Crawler"
Di Internet hari ini, lebih daripada separuh lalu lintas sebenarnya bukan orang sebenar, tetapi pelbagai program automatik (Bot). Sebilangannya adalah bug yang baik (seperti Baidu, labah-labah carian Google), tetapi lebih banyak bug yang buruk.
Pesanan/bulu yang berniat jahat: Pada awal aktiviti snap-up, orang yang sebenarnya belum membuka laman web. Skrip penggodam mengemukakan puluhan ribu permintaan snap-up dalam satu saat, yang mengambil semua faedah.
Perpustakaan/baucar anti-perlanggaran: Penggodam mengambil senarai kata laluan yang dicuri dari tempat lain dan menggunakan skrip untuk mencubanya di antara muka log masuk anda. Setelah mencuba yang betul, anda akan memperolehnya.
Crawler berniat jahat: Ambil semua kandungan asli dan harga produk eksklusif yang telah anda tulis dengan bersungguh-sungguh dalam satu saat, dan tidak ada seluar dalam yang tersisa.
Fungsi pengurusan Bot Tencent Cloud WAF adalah seperti "penilai sebenar". Dengan mengumpulkan beratus-ratus dimensi maklumat seperti persekitaran penyemak imbas pengguna, lintasan tetikus, cap jari peranti, dan lain-lain, ia dapat membezakan dengan tepat sama ada orang yang duduk di belakang skrin adalah daging atau darah atau skrip sejuk. Untuk Bot yang mencurigakan, ia secara langsung akan memunculkan kod pengesahan slider, atau secara langsung menerima 403 untuk menolak akses.
3. Perlindungan keselamatan API: kunci "antara muka baru" di era perkhidmatan mikro
Laman web dan aplikasi moden semasa pada dasarnya adalah seni bina yang memisahkan bahagian depan dan belakang, bergantung pada pelbagai antara muka API (seperti
/Api/v1/pengguna/log masuk
) Untuk menghantar data. Penggodam juga mengikuti perkembangan zaman dan mula menumpukan perhatian pada kerentanan API.
Tragedi biasa adalah: antara muka API untuk memeriksa baki tidak disahkan dengan baik. Peretas hanya perlu mengubah ID pengguna (dari 001 hingga 002) dalam parameter antara muka untuk melihat privasi orang lain secara tidak sengaja.
Tencent Cloud WAF secara khusus meningkatkan
Keselamatan API
Fungsi:
Ia secara automatik dapat membantu anda menyusun aset anda. Dalam banyak kes, pengaturcara menulis beberapa antara muka ujian dan lupa memadam (API bayangan),WAF dapat membantu anda mengetahui semuanya.
Ia akan memantau logik panggilan API. Setelah didapati bahawa data yang dikembalikan oleh antara muka mengandungi sebilangan besar nombor ID dan nombor telefon bimbit (kebocoran data sensitif),WAF akan segera memintas dan memanggil polis.
4. Anti-gangguan dan pengalihan laman web
Laman web rasmi yang telah bekerja keras digodam oleh penggodam semalam, dan laman utama diganti dengan iklan haram yang tidak kemas, yang tidak hanya merosakkan muhibah, tetapi juga diwawancara oleh pihak berkuasa.
Fungsi anti-gangguan laman web WAF menyediakan mekanisme "kunci". Anda boleh meletakkan laman web
Buat "gambar cache" di halaman inti WAF. Walaupun penggodam melewati pinggiran, benar-benar meretas pelayan laman web sumber anda dan menukar fail halaman web, WAF masih akan memaparkan halaman cermin yang betul yang sebelumnya dikunci ketika kembali ke pengguna akhir. Ini memberi pentadbir masa pembaikan kecemasan yang berharga.
3. Perspektif pertempuran sebenar: SaaS WAF vs load balancing CLB mengikat WAF, bagaimana memilih?
Apabila anda membeli WAF di konsol awan Tencent, anda akan melihat dua mod penggunaan:
SaaS jenis WAF
Dan
CLB jenis WAF
。 Ramai orang mengalami kesukaran memilih di sini. Sebenarnya, mengikut struktur anda, pilihan yang sangat baik:
SaaS jenis WAF (ubah resolusi CNAME): Cara berfungsi: Resolusi nama domain anda tidak langsung menunjuk ke pelayan, tetapi diselesaikan ke nama domain WAF. Lalu lintas tiba di WAF terlebih dahulu, dan kemudian dihantar ke pelayan setelah dibersihkan. Kelebihan: Jangan pilih persekitaran. Walaupun pelayan anda tidak berada di Tencent Cloud (di ruang komputer tempatan atau awan lain), selagi anda dapat mengubah resolusi nama domain, anda boleh menggunakannya. Kekurangan: Satu lompatan lagi dalam pemajuan rangkaian akan meningkatkan kelewatan minimum.
CLB jenis WAF (pintasan/penyebaran tertanam): Cara bekerja: Laman web anda pada asalnya menggunakan Tencent Cloud's Load Balancing (CLB). Setelah mengaktifkan fungsi ini, WAF secara langsung "tertanam" di CLB seperti pemalam. Kelebihan: prestasi ultra tinggi, kelewatan sifar. Oleh kerana lalu lintas tidak perlu memutar jalan ke pusat pembersihan di rangkaian awam, pemeriksaan keselamatan dilakukan di rangkaian dalaman Tencent Cloud. Dan tidak ada batasan pada jumlah IP, yang sesuai untuk perkhidmatan lalu lintas yang besar. Kekurangan: Perniagaan anda mesti digunakan di Tencent Cloud, dan CLB pengimbangan beban mesti digunakan.
Keempat, panduan mengelakkan lubang: dua lombong paling mudah untuk dilangkah setelah membuka WAF
WAF adalah perkara yang baik, tetapi ia adalah "sistem pemeriksaan keselamatan". Selagi itu adalah pemeriksaan keselamatan, jika dikonfigurasi dengan tidak betul, "pembunuhan" akan berlaku. Sila ambil dua pengalaman sebenar berikut:
Jangan hidupkan "mod pemintas yang kuat" sebaik sahaja anda muncul! Pelajar yang baru sahaja membeli WAF tidak sabar untuk menyesuaikan tahap perlindungan ke tahap tertinggi. Akibatnya, panggilan perkhidmatan pelanggan diledakkan pada keesokan harinya-pengguna biasa mengisi borang dengan simbol khas dan juga dipintas oleh WAF sebagai kod jahat. Postur yang betul: Setelah stesen baru disambungkan ke WAF, hidupkan "mod pemerhatian" (hanya rekod dan tidak memintas) dan jalankan selama 3 hingga 7 hari. Dalam log untuk melihat apakah perniagaan biasa telah dilaporkan secara salah. Setelah menambahkan peraturan penggera palsu ke senarai putih, ia akan kembali ke "mod pemintas."
Mini Program/Aplikasi ingat untuk melepaskan IP antara muka dalaman: Sekiranya di dalam sistem anda, pelayan A perlu memanggil antara muka pelayan B pada frekuensi tinggi, dan lalu lintas ini secara tidak sengaja pergi ke rangkaian luaran dan mencetuskan WAF,WAF mungkin keliru percaya bahawa ia menderita CC Serangan atau serangan jahat ke perpustakaan, oleh itu, IP pelayan sendiri disekat. Semasa mengkonfigurasi, pastikan untuk memasukkan IP tetap yang dipercayai secara dalaman ke dalam senarai putih.
Lima, Penutup
Harga berlari telanjang ketika membuka pintu di Internet
Ia sangat menyakitkan. Firewall aplikasi web WAF adalah barisan pertahanan terpenting di lapisan aplikasi laman web.
Kelebihan utama Tencent Cloud WAF terletak di belakangnya adalah "otak paling kuat" dan pangkalan data ancaman besar yang Tencent Security telah memerangi produk hitam selama lebih dari 20 tahun. Ini mengubah teknologi serangan dan pertahanan penggodam topi putih yang sangat maju menjadi suis strategi yang mudah difahami.
Bagi syarikat, membelanjakan sejumlah kecil kos untuk mengkonfigurasi WAF dapat memperoleh ketenangan fikiran bahawa data inti tidak akan bocor, perniagaan tidak akan dihancurkan, dan laman web tidak akan diubah. Ini jelas merupakan pelaburan yang selamat dengan kadar pulangan yang sangat tinggi.