×
Community Blog 多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

這篇文章將詳細說明如何使用 Cloud Firewall、WAF、CDN 和 Anti-DDoS 多層保護線上業務安全。

線上業務最常見的前 5 大安全威脅

創新技術的快速成長為全球的線上業務帶來了許多新商機。現代人不僅習慣使用網際網路,也很仰賴網際網路進行日常工作,包括購物、玩遊戲、看電影及幾乎所有其他事務。全球的網際網路流量自 2016 年到 2021 年成長了 3.2 倍,年複合成長率達 26%。美國 2020 年的電子商務成長率躍升超過 30%,使線上購物趨勢達到相當於將近 2 年的成長。

不過,這也導致企業在垂直/水平擴充基礎設施以達到相關要求時,面臨全新的挑戰。線上業務擁有者必須密切監控網站,否則只要頁面載入時間太久,就可能會影響轉換率。提升網站效能一直都是 DevOps 團隊永不停歇的工作。

線上業務越來越先進,因此必須持續因應隨之而來的安全威脅。以下是線上業務最常見的前 5 大安全威脅:

  • DDoS 攻擊
  • 信用卡詐欺
  • 惡意軟體
  • 惡意機器人
  • 電子商務側錄攻擊 (E-skimming)

為了保護企業並促進事業成功,現在的線上業務在代管安全防護及提升效能方面投入的資源越來越多。

本文將逐步說明如何一起搭配使用 Alibaba Cloud Anti-DDoSWeb Application Firewall (WAF)Cloud Firewall,確保線上業務安全無虞。此外,我們也會說明如何同時運用 Alibaba Cloud CDN 來提升效能。
.

多層級保護,保障線上業務

阿里雲提供多種安全防護產品讓您保護線上業務。在本文中,我們會示範如何設定 Anti-DDoSWAFCloud Firewall 同時啟用 CDN 來加速線上業務的使用者體驗。

multi-layer solution diagram

當你不太清楚設定的前後順序,我們建議依照解決方案圖所示進行多層級設定:

  1. Anti-DDoS Pro 是最外圍的防護功能。Anti-DDoS 有兩種啟用模式。一種是「一律啟用」模式,也就是將所有流量都先導向 Anti-DDoS 流量清洗中心,再將乾淨的流量送回網站的原始伺服器。另一種是「待命」模式,也就是客戶在發現攻擊時手動啟用;以及「監測」模式,在 Anti-DDoS 和 CDN 服務之間使用阿里雲互動時,自動觸發流量重新導向程序。在接下來的逐步指南中,我們會示範如何設定監測模式。如果目前設為「一律啟用」或「待命」模式,您可以參考下文說明。不同之處在於您要手動管理 DNS CNAME 設定。
  2. 經過 Anti-DDoS 流量清洗中心後的乾淨要求流量會接著送到 CDN 節點。如果要求的內容是在 CDN 節點快取,則 CDN 節點會直接回應使用者。此做法可大幅縮短頁面載入時間。如果在 CDN 節點未擷取任何內容,或內容為動態狀態,而要求必須送回網站原點,則 CDN 節點會根據已設定的 CDN 結構,將要求轉送到下一個 CDN 節點或原點。阿里雲會轉換 TCP 通訊協定堆疊,提升即時資料傳輸的可靠性;而且可在數秒內進行智慧路由切換,避免在資料傳輸期間造成封包遺失。
  3. WAF 防護是線上業務的下一層保護措施。WAF 可減輕 HTTP 洪水攻擊的影響,並篩除惡意機器人流量,確保網站原始伺服器的效能。WAF 也是一種商業風險控制工具,可用來因應濫用商務 API 等情況的安全性風險。
  4. 如果您的原始伺服器是在阿里雲上建置,則可透過阿里雲使用多種安全性產品,保護原始伺服器的基礎設施安全。Alibaba Cloud Firewall 會集中管理用來控制網際網路到您企業流量的政策;也會控管 VPC 網路之間的流量、Express Connect 執行個體上的流量,以及 VPN 遠端存取產生的流量。Cloud Firewall 內建入侵預防系統 (Intrusion Prevention System,IPS),可偵測從資產外送的連線;而且還可將網路流量及業務之間的存取情況視覺化,並儲存最近六個月產生的網路流量日誌檔。

接下來,我們就開始建置這些多層級防護。
.

建置多層級防護步驟教學

步驟 1:在原始伺服器之上設定防火牆防護

在內部網路和網際網路之間建立防火牆防護非常重要,這是保障原始伺服器的第一層防護。

如果您是在阿里雲架設原始伺服器,則可為原始伺服器設定安全群組,以用來控管原始伺服器上的連入及連外連接埠。以下是安全群組最佳做法:https://www.alibabacloud.com/help/doc-detail/51170.htm

Cloud Firewall 可提供用來控管網際網路邊界流量的網際網路防火牆、控管 VPC 間流量的 VPC 防火牆,以及控管 ECS 執行個體間流量的內部防火牆。您可以使用 Cloud Firewall 集中管理安全群組政策,並將安全群組之間的流量視覺化。

1.1 購買 Cloud Firewall。
1.2 在「Firewalls」頁面上啟用服務。
Enable the Cloud Firewall service
1.3 按一下「Access Control」頁面右上角的 [Create Policy],以設定存取控制政策。
Click Create Policy
1.4 在「Intrusion Prevention」頁面上設定入侵預防政策。
Configure intrusion prevention policies
1.5 在「Traffic Analysis」頁面上查看流量分析。
您可以查看有關外部連線、網際網路存取、VPC 存取、入侵偵測、IPS 分析和所有存取活動的流量分析。
View traffic analysis on the Traffic Analysis page.
.

步驟 2:設定 WAF

2.1 購買 WAF
WAF 共有四個版本:Pro、Business、Enterprise 及 Exclusive。每種版本的功能各不相同。下表列出四種版本的功能差異。如需功能差異比較說明,請參閱這份文件:https://www.alibabacloud.com/help/doc-detail/58487.htm
WAF editions

2.2 將網站新增至 WAF
若要新增網站至 WAF,您必須先將網站的網域名稱新增至 WAF 主控台,並變更 DNS 記錄,將目的地為網站的流量重新導向至 WAF,以確保安全。
Add a website to WAF

將原始伺服器 IP 或負載平衡器 IP 新增為「目的地伺服器」。

針對「Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF」問題,請勾選 [Yes]。我們將於後續步驟設定 CDN 和 Anti-DDoS。

2.3 設定 WAF 保護政策
WAF 提供多種防護功能,可保護您的網站抵禦各種類型的攻擊。在這些功能中,只有 RegEx Protection Engine 和 HTTP Flood Protection 預設為啟用。RegEx Protection Engine 功能可保護網站不受常見的網路攻擊,例如 SQL 插入、XSS 及 webshell 上傳。HTTP Flood Protection 功能可保護網站不受 HTTP 洪水攻擊。您必須手動啟用其他功能並設定保護規則。如需詳細資訊,請點參閱:https://www.alibabacloud.com/help/doc-detail/173612.htm

2.4 為網站啟用 WAF
變更網域名稱的 DNS 記錄,以將網域名稱對應至 WAF 指定的 CNAME 位址。

您可透過這項 DNS 變更,驗證 WAF 是否正常運作。由於我們會在下個步驟設定 CDN 連結至 WAF 服務,因此不需要在驗證完 WAF 功能後進行這項 DNS 變更。
.

步驟 3:設定 CDN

在這個操作步驟中,我們要進行 CDN 設定以改善網站效能。CDN 會使用我們在上個步驟中設為原始伺服器的 WAF CNAME。

3.1 購買 CDN
您必須在使用 CDN 服務之前完成註冊。
Purchase CDN

3.2 驗證網域名稱的擁有權
當網域名稱初次加入 Content Delivery Network 時,Alibaba Cloud CDN 會驗證該網域名稱的擁有權。如果您通過驗證程序,Alibaba Cloud CDN 便會將您識別為網域名稱的擁有者。日後再次新增網域名稱或其子網域名稱到 Alibaba Cloud CDN 時,就不需要再進行擁有權驗證程序。您可以使用 Domain Name System (網域名稱系統,DNS) 記錄或上傳驗證檔案,藉此證明擁有權。在以下範例中,我們會以 a.com 示範如何證明網域名稱的擁有權。

3.3 將網域名稱新增至 CDN
針對「origin Info」選擇使用 [Site Domain],即我們在上個步驟中設定的 WAF CNAME。
若要加速「Mainland China Only」及「Global」,您的網域必須具備有效的 ICP 備案。
Add domain name to CDN

3.4 為網域啟用 CDN
將網域名稱加入 Alibaba Cloud Content Delivery Network (CDN) 之後,Alibaba Cloud CDN 會指派正規名稱 (CNAME) 給該網域名稱。若要為網域名稱啟用 Alibaba Cloud CDN 服務,您必須新增 CNAME 記錄,將網域名稱對應至 CNAME。這樣傳送至該網域名稱的要求才會重新導向至 CDN 節點。

您可以變更 DNS,藉此驗證 CDN 是否正確運作。由於我們會在下個步驟設定 Anti-DDoS,因此不需要在驗證完 CDN 功能後進行這項 DNS 變更。
.

步驟 4:設定 Anti-DDoS Pro

阿里雲提供多項 Anti-DDoS 產品。您可以參閱一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段!

Anti-DDoS Origin 原生保護功能啟用之後,即可輕鬆將外部流量重新導向至流量清洗中心。這是最方便且建議採用的防護措施。

當您面臨巨量攻擊,而 Anti-DDoS Origin 無法抵禦攻擊頻寬時,最有效的工具就是 Anti-DDoS Origin BGP 導流。客戶可使用 BGP 宣告,將流量重新轉送至阿里雲的流量清洗中心。Anti-DDoS 是定期執行的服務,會使用 DNS 重新導向功能,將流量重新轉送至阿里雲流量清洗中心。

Anti-DDoS 服務共有兩個版本。Anti-DDoS Pro 的服務區域是中國大陸,而 Anti-DDoS Premium 的服務區域則在境外。在本說明文件中,因為網站源站是內建於中國大陸的 VPC,且大部分使用者是來自中國大陸,所以是以 Anti-DDoS Pro 服務為例。

4.1 購買 Anti-DDoS
登入阿里雲主控台,在「Products and Services」頁面搜尋「Anti-DDoS Pro」,然後前往 Anti-DDoS 主控台。在「Assets」->「Instances」底下,按一下 [Purchase Instances] 。
Purchase Anti-DDoS

您必須選擇下列項目才能進行購買。

  1. Basic protection (基本防護):這是基本的緩解容量,透過預付取得適當規模的防護。
  2. Burstable protection (爆量防護):這是可達到最大的緩解容量。
  3. Business scale (企業規模):這是線上業務的頻寬容量。
  4. 標準功能或增強功能
  5. 要保護的網域數量
  6. 乾淨資料的 QPS
  7. 要保護的連接埠數量

4.2 將網域加入防護
前往 Anti-DDoS 主控台,按一下「Provisioning」底下的 [Website Config],然後按一下 [Add Domain]。

您必須先依據下表選擇功能方案。
function plan

如需有關如何新增網域的詳細說明,請參閱以下網頁:https://www.alibabacloud.com/help/doc-detail/143347.htm

選擇 [Origin Server Domain] 做為伺服器 IP,然後使用我們在上個步驟設為網域名稱的 CDN CNAME。
Choose Origin Server Domain

4.3 (選用) 針對非網頁應用程式,請建立連接埠轉送規則。
https://www.alibabacloud.com/help/doc-detail/143349.htm

4.4 設定保護政策、一般政策和自訂政策。
https://www.alibabacloud.com/help/doc-detail/116704.htm

4.5 將流量重新轉送至 Anti-DDoS 流量清洗中心。
如果您想採用一律啟用的 Anti-DDoS 服務模式,可使用 Anti-DDoS CNAME 變更網域 CNAME DNS 記錄;也可選擇在攻擊發生時才變更,這就是所謂的待命模式。

如果您的原始伺服器目前已採用 Elastic IP 和 CDN 等阿里雲服務,則可視需要使用 Sec-Traffic Manger 來管理自動化 Anti-DDoS 防護。

在本說明文件中,我們已啟用 CDN 並選擇使用監測模式。我們採用 Sec-Traffic Manager 讓 Anti-DDoS Pro 和 CDN 之間進行互動。在沒有攻擊發生時,一般流量會直接轉送給 CDN 服務,且不會增加任何延遲。一旦發生攻擊,流量就會改送到 Anti-DDoS Pro 進行清洗和轉送。

如以下螢幕擷取畫面所示,每秒傳送至 CDN 服務的要求超過 1000 個時,就會觸發 Anti-DDoS。
Anti-DDoS can be triggered when request per second to CDN service is over 1000

接著,我們會將網域從 DNS CNAME 變更為 Sec-Traffic Manager CNAME,如以下螢幕擷取畫面所示。
hange the domain DNS CNAME to Sec-Traffic Manager CNAME
.

領取試用優惠,動手嘗試

現在已完成這項多層級防護解決方案的設定,其中一共採用了 Cloud Firewall、WAF、CDN 和 Anti-DDoS。在實際專案中,您可以選擇採用全部或一部分的防護功能。

如您對這份逐步指南有任何建議,歡迎告訴我們。
如想動手嘗試,可以點此頁面找尋相關產品試用優惠,或與我們聯繫,持續推行您的創新里程!

本篇作者為 Leaf Ye, Alibaba Cloud Solution Architect ,原文連結:https://www.alibabacloud.com/blog/empower-online-businesses-with-alibaba-cloud-anti-ddos-waf-cdn-and-cloud-firewall_597138

0 0 0
Share on

Alibaba Cloud TC Content

16 posts | 2 followers

You may also like

Alibaba Cloud TC Content

16 posts | 2 followers

Related Products