Web Application Firewall：Gunakan WAF untuk melindungi instance ECS dari serangan CC

Serangan Challenge Collapsar (CC) adalah jenis serangan DDoS yang mengirimkan aliran permintaan berkonkurensi tinggi secara terus-menerus untuk menghabiskan sumber daya komputasi server atau koneksi database, sehingga menyebabkan respons bisnis menjadi lambat dan pemuatan halaman tertunda. Tanda-tanda khas serangan CC meliputi lonjakan permintaan per detik (QPS) dan peningkatan penggunaan bandwidth. Untuk melindungi instance Elastic Compute Service (ECS) yang menghadap internet dari serangan tersebut, Anda dapat mengaktifkan perlindungan Web Application Firewall (WAF). WAF secara efektif melindungi dari serangan CC dan membantu memastikan kelancaran operasional bisnis Anda.

Skenario

• Layanan web diterapkan pada instance ECS dan melayani permintaan melalui alamat IP publik.

• Instance ECS berada di salah satu wilayah berikut: Tiongkok (Chengdu), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Qingdao), Tiongkok (Hong Kong), Malaysia (Kuala Lumpur), Indonesia (Jakarta), atau Singapura. Jika instance Anda tidak berada di salah satu wilayah tersebut, Anda harus menggunakan provisioning CNAME.

Langkah 1: Aktifkan instance WAF bayar sesuai penggunaan

1. Buka halaman pembelian Web Application Firewall 3.0 (Bayar Sesuai Penggunaan).

2. Atur Product Type ke Web Application Firewall 3.0 dan Billing Method ke Pay-As-You-Go. Kemudian, konfigurasikan pengaturan berikut.

   Item Konfigurasi	Deskripsi
   Region	Ini menentukan lokasi node perlindungan WAF. Jika instance ECS yang menjalankan situs web Anda berada di Daratan Tiongkok, pilih Chinese Mainland. Jika tidak, pilih Outside Chinese Mainland.
   WAF Edition	Nilai default adalah Pay-As-You-Go 3.0. Tidak perlu konfigurasi tambahan.
   Traffic Billing Protection Threshold	Pertahankan nilai default. Anda dapat mengubahnya nanti.
   Service-linked Role	WAF perlu mengakses sumber daya cloud Anda untuk menyediakan layanan seperti kontrol akses trafik dan analitik pemantauan. Klik Create Service-linked Role. Sistem akan secara otomatis membuat peran AliyunServiceRoleForWaf. Jangan ubah peran ini secara manual.

3. Klik Buy Now dan selesaikan pembelian.

Langkah 2: Provision instance ECS

1. Masuk ke Konsol Web Application Firewall 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland). Di panel navigasi sebelah kiri, klik Onboarding. Klik tab Cloud Native. Dari daftar jenis produk cloud di sebelah kiri, pilih Elastic Compute Service (ECS).

2. Di daftar sebelah kanan, temukan instance ECS target dan klik Add Now di kolom Actions. Jika Anda tidak menemukan instance tersebut, klik Synchronize Assets di pojok kanan atas halaman. Jika instance masih tidak ditemukan, berarti instance tersebut tidak memenuhi persyaratan yang ditentukan dalam bagian Skenario.

3. Di bagian Select instances & ports to protect, di kolom Actions, klik Add Port.

4. Di kotak dialog Add Port, konfigurasikan port dan Jenis Protokol untuk situs web Anda.

   • Situs web HTTP standar

     Jika alamat situs web Anda adalah http://yourdomain.com, atur Protocol Type ke HTTP dan Port ke 80.

   • Situs web HTTPS standar

     Jika alamat situs web Anda adalah https://yourdomain.com, atur Protocol Type ke HTTPS dan Port ke 443.

   • Situs web dengan port non-standar

     Jika URL situs web mencantumkan nomor port dalam format domain:port, masukkan nomor port aktual. Misalnya:

     • http://yourdomain.com:8080. Protocol Type: HTTP. Port: 8080.

     • https://yourdomain.com:8443 (Protocol Type: HTTPS, Port: 8443).

   Situs web HTTP

   1. Pada bidang Port, masukkan port situs web Anda.

   2. Untuk Protocol Type, pilih HTTP.

   Situs web HTTPS

   1. Pada bidang Port, masukkan port untuk situs web Anda.

   2. Atur Protocol Type ke HTTPS.

   3. Anda dapat mempertahankan pengaturan default untuk HTTP2, TLS Version, Cipher Suite, dan Additional Certificate.

   4. Pada bagian Default Certificate, pilih cara mengunggah sertifikat:

      • Upload Manually: Pilih metode ini jika sertifikat belum diunggah ke Alibaba Cloud Certificate Management Service (Original SSL Certificate).

      • Select Existing Certificate: Pilih metode ini untuk menggunakan sertifikat yang telah diterbitkan atau diunggah di Alibaba Cloud Certificate Management Service (Original SSL Certificate).

        Upload Manually

        • Certificate Name: Masukkan nama unik untuk sertifikat tersebut. Nama tidak boleh sama dengan nama sertifikat yang sudah ada.

        • Certificate File: Buka file sertifikat dengan editor teks dan tempel konten sertifikat dalam format PEM, CER, atau CRT.

          Berikut contoh formatnya: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • Konversi format: Jika sertifikat Anda dalam format seperti PFX atau P7B, Anda dapat menggunakan alat sertifikat untuk mengonversinya ke format PEM.

          • Rantai sertifikat: Jika mencakup sertifikat perantara, tempel kontennya dalam urutan berikut: sertifikat server lalu sertifikat perantara.

        • Private Key: Buka file kunci privat dengan editor teks dan tempel kunci privat dalam format PEM.

          Berikut contoh formatnya: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        Pilih Sertifikat yang Ada

        Dari daftar drop-down sertifikat, pilih sertifikat yang ingin Anda tambahkan ke WAF.

        Catatan

        Jika Konsol WAF menampilkan pesan "Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected.", rantai sertifikat tidak lengkap. Verifikasi bahwa konten sertifikat benar dan lengkap, lalu unggah ulang di Konsol Certificate Management Service. Untuk informasi selengkapnya, lihat Upload, synchronize, and share SSL certificates.

5. Biarkan pengaturan lainnya tetap default, lalu klik OK.

6. (Opsional) View the protected object: Setelah Instance ECS disediakan, WAF secara otomatis membuat objek yang dilindungi dengan nama ID instans-Port-jenis aset. Secara default, WAF mengaktifkan aturan perlindungan untuk objek tersebut, seperti aturan perlindungan inti web. Anda dapat melihat objek yang dilindungi tersebut di halaman Protection Configuration > Protected Objects.

7. Verifikasi perlindungan dasar: Di browser, akses situs web yang di-host pada Instance ECS. Tambahkan kode uji serangan web ke URL, misalnya http://yourdomain.com/alert(xss). Jika halaman blokir WAF 405 ditampilkan, berarti serangan tersebut telah dicegat dan perlindungan Web Application Firewall (WAF) sedang berlaku.

Langkah 3: Konfigurasikan aturan perlindungan serangan flood HTTP

1. Di panel navigasi kiri, pilih Protection Configuration > Core Web Protection.

2. Di bagian bawah halaman, pada bagian HTTP Flood Protection, klik Create Template.

3. Di panel Create Template - HTTP Flood Protection, konfigurasikan parameter berikut.

   Item Konfigurasi	Deskripsi
   Template Name	Masukkan nama templat yang mudah dikenali.
   Save as Default Template	Pertahankan status default yang dinonaktifkan.
   Action	Pilih aksi yang akan diambil saat permintaan memicu aturan. Opsi meliputi: Block: Cocok untuk perlindungan harian. Hanya memblokir permintaan yang sangat tidak normal dan memiliki tingkat positif palsu yang rendah. Block - Emergency: Cocok untuk pemulihan darurat ketika serangan CC berfrekuensi tinggi menyebabkan gangguan bisnis. Secara efisien memblokir serangan CC tetapi mungkin memiliki tingkat positif palsu lebih tinggi. Aktifkan mode ini jika mode Block tidak dapat menghentikan serangan secara efektif dan Anda mengamati penundaan respons situs web, lonjakan trafik, atau penggunaan CPU atau memori yang tidak normal. Catatan Mode Blokir - Darurat cocok untuk halaman web atau halaman H5, tetapi tidak cocok untuk layanan API atau aplikasi native.
   Apply To	Di area Objects to Select, pilih objek yang dilindungi yang sesuai dengan instance ECS. Klik ikon untuk memindahkannya ke area Selected di sebelah kanan.

   

4. Klik OK.

Langkah 4: Lihat data perlindungan serangan

Setelah konfigurasi selesai, buka halaman Overview di panel navigasi kiri untuk melihat informasi seperti Protection Overview dan Top 10 Attacks untuk analitik keamanan bisnis.

Anda telah menyelesaikan semua langkah dalam tutorial ini. Anda dapat melakukan operasi berikut sesuai kebutuhan:

• Lanjutkan menggunakan WAF (Disarankan): Untuk informasi selengkapnya, lihat Optimasi lanjutan.

• Hentikan penggunaan WAF: Untuk informasi selengkapnya, lihat Lepaskan sumber daya untuk menghentikan penagihan.

Optimasi lanjutan: Tingkatkan perlindungan dan kendalikan biaya

Jika Anda ingin terus menggunakan WAF setelah menyelesaikan konfigurasi dalam topik ini, Anda dapat menyesuaikan pengaturan agar sesuai dengan kebutuhan bisnis Anda. Hal ini membantu meningkatkan keamanan dan mengurangi biaya.

• Perlindungan terkoordinasi dengan beberapa modul: Topik ini menjelaskan cara mengaktifkan hanya modul perlindungan flood HTTP. Anda dapat menggabungkan modul ini dengan modul-modul berikut untuk perlindungan terkoordinasi.

  • Aturan kustom: Terapkan perlindungan yang tepat terhadap fitur serangan tertentu berdasarkan kondisi pencocokan fleksibel dan aksi aturan. Misalnya, Anda dapat mengonfigurasi aturan kontrol frekuensi untuk membatasi laju akses.

  • Daftar putih: Izinkan permintaan yang memenuhi kriteria tertentu melewati deteksi WAF, seperti permintaan dari alamat IP tepercaya.

  • Daftar hitam IP: Blokir akses dari alamat IP berbahaya yang diketahui.

  • Daftar Hitam Lokasi: Blokir permintaan dari wilayah geografis tertentu. Misalnya, jika bisnis Anda hanya melayani pengguna di Tiongkok dan Anda mendeteksi banyak serangan dari luar Tiongkok, Anda dapat mengaktifkan fitur ini.

• Konfigurasi provisioning lanjutan: WAF menyediakan beberapa metode untuk provisioning sumber daya. Anda dapat memilih metode sesuai kebutuhan.

  • Provision instance ECS dalam mode cloud native: Topik ini menggunakan metode provisioning ini untuk memprovision instance layanan cloud secara cepat. Untuk mengonfigurasi versi TLS, paket sandi, atau beberapa sertifikat, lihat Tingkatkan perlindungan keamanan (HTTPS). Untuk mengonfigurasi proxy Layer 7 seperti CDN di depan WAF atau mengonfigurasi penandaan trafik, lihat Dapatkan informasi klien sebenarnya.

  • Provisioning CNAME: Provisioning melalui nama domain. Metode ini berlaku untuk lebih banyak skenario, memiliki batasan lebih sedikit, dan mendukung lebih banyak fitur.

• Saran optimasi biaya:

  • Perlindungan penagihan trafik: Untuk mencegah serangan volumetrik menyebabkan lonjakan QPS dan biaya tinggi, Anda dapat mengatur ambang batas perlindungan penagihan trafik. Ambang batas ini membatasi QPS puncak yang dapat ditangani oleh WAF.

  • Paket sumber daya SeCU: Paket sumber daya SeCU adalah solusi hemat biaya untuk WAF bayar sesuai penggunaan. Setelah Anda mengaktifkan instance WAF bayar sesuai penggunaan, Anda dapat membeli paket sumber daya SeCU untuk mengimbangi biaya.

  • WAF berlangganan: Jika Anda ingin menggunakan WAF dalam jangka waktu lama, Anda dapat membeli instance WAF berlangganan untuk mengurangi biaya.

Lepaskan sumber daya untuk menghentikan penagihan

Setelah menyelesaikan tutorial ini, jika Anda tidak lagi memerlukan instance WAF yang telah diaktifkan, Anda dapat mengikuti langkah-langkah berikut untuk mematikan WAF dan menghentikan penagihan.

1. Di panel navigasi kiri, buka halaman Overview. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instance WAF.

2. Jika halaman berikut ditampilkan, klik Go to Console di pojok kanan atas. Jika tidak, lewati langkah ini.

3. Di area sebelah kanan, klik Matikan WAF. Di kotak dialog yang muncul, centang kotak yang relevan dan klik OK.