多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

2022/06/09

創新技術的快速成長為全球的線上業務帶來了許多新商機。現代人不僅習慣使用網際網路,也很仰賴網際網路進行日常工作,包括購物、玩遊戲、看電影及幾乎所有其他事務。全球的網際網路流量自 2016 年到 2021 年成長了 3.2 倍,年複合成長率達 26%。美國 2020 年的電子商務成長率躍升超過 30%,使線上購物趨勢達到相當於將近 2 年的成長。

不過,這也導致企業在垂直/水平擴充基礎設施以達到相關要求時,面臨全新的挑戰。線上業務擁有者必須密切監控網站,否則只要頁面載入時間太久,就可能會影響轉換率。提升網站效能一直都是 DevOps 團隊永不停歇的工作。

線上業務越來越先進,因此必須持續因應隨之而來的安全威脅。以下是線上業務最常見的前 5 大安全威脅:

•DDoS 攻擊

•信用卡詐欺

•惡意軟體

•惡意機器人

•電子商務側錄攻擊 (E-skimming)

為了保護企業並促進事業成功,現在的線上業務在代管安全防護及提升效能方面投入的資源越來越多。

本文將逐步說明如何一起搭配使用 Alibaba Cloud Anti-DDoS、Web Application Firewall (WAF) 及 Cloud Firewall,確保線上業務安全無虞。此外,我們也會說明如何同時運用 Alibaba Cloud CDN 來提升效能。.

多層級保護,保障線上業務
阿里雲提供多種安全防護產品讓您保護線上業務。在本文中,我們會示範如何設定 Anti-DDoS、WAF 及 Cloud Firewall 同時啟用 CDN 來加速線上業務的使用者體驗。

多層級設定


當你不太清楚設定的前後順序,我們建議依照解決方案圖所示進行多層級設定:
1.Anti-DDoS Pro 是最外圍的防護功能。Anti-DDoS 有兩種啟用模式。一種是「一律啟用」模式,也就是將所有流量都先導向 Anti-DDoS 流量清洗中心,再將乾淨的流量送回網站的原始伺服器。另一種是「待命」模式,也就是客戶在發現攻擊時手動啟用;以及「監測」模式,在 Anti-DDoS 和 CDN 服務之間使用阿里雲互動時,自動觸發流量重新導向程序。在接下來的逐步指南中,我們會示範如何設定監測模式。如果目前設為「一律啟用」或「待命」模式,您可以參考下文說明。不同之處在於您要手動管理 DNS CNAME 設定。
2.經過 Anti-DDoS 流量清洗中心後的乾淨要求流量會接著送到 CDN 節點。如果要求的內容是在 CDN 節點快取,則 CDN 節點會直接回應使用者。此做法可大幅縮短頁面載入時間。如果在 CDN 節點未擷取任何內容,或內容為動態狀態,而要求必須送回網站原點,則 CDN 節點會根據已設定的 CDN 結構,將要求轉送到下一個 CDN 節點或原點。阿里雲會轉換 TCP 通訊協定堆疊,提升即時資料傳輸的可靠性;而且可在數秒內進行智慧路由切換,避免在資料傳輸期間造成封包遺失。
3.WAF 防護是線上業務的下一層保護措施。WAF 可減輕 HTTP 洪水攻擊的影響,並篩除惡意機器人流量,確保網站原始伺服器的效能。WAF 也是一種商業風險控制工具,可用來因應濫用商務 API 等情況的安全性風險。
4.如果您的原始伺服器是在阿里雲上建置,則可透過阿里雲使用多種安全性產品,保護原始伺服器的基礎設施安全。Alibaba Cloud Firewall 會集中管理用來控制網際網路到您企業流量的政策;也會控管 VPC 網路之間的流量、Express Connect 執行個體上的流量,以及 VPN 遠端存取產生的流量。Cloud Firewall 內建入侵預防系統 (Intrusion Prevention System,IPS),可偵測從資產外送的連線;而且還可將網路流量及業務之間的存取情況視覺化,並儲存最近六個月產生的網路流量日誌檔。
接下來,我們就開始建置這些多級防護。.
建置多層級防護步驟教學
步驟 1:在原始伺服器之上設定防火牆防護
在內部網路和網際網路之間建立防火牆防護非常重要,這是保障原始伺服器的第一層防護。
如果您是在阿里雲架設原始伺服器,則可為原始伺服器設定安全群組,以用來控管原始伺服器上的連入及連外連接埠。以下是安全群組最佳做法:https://www.alibabacloud.com/help/doc-detail/51170.htm
Cloud Firewall 可提供用來控管網際網路邊界流量的網際網路防火牆、控管 VPC 間流量的 VPC 防火牆,以及控管 ECS 執行個體間流量的內部防火牆。您可以使用 Cloud Firewall 集中管理安全群組政策,並將安全群組之間的流量視覺化。
1.1 購買 Cloud Firewall。
1.2 在「Firewalls」頁面上啟用服務。

Firewalls

1.3 按一下「Access Control」頁面右上角的 [Create Policy],以設定存取控制政策。

Create Policy

1.4 在「Intrusion Prevention」頁面上設定入侵預防政策。

Intrusion Prevention

1.5 在「Traffic Analysis」頁面上查看流量分析。
您可以查看有關外部連線、網際網路存取、VPC 存取、入侵偵測、IPS 分析和所有存取活動的流量分析。

Traffic Analysis

步驟 2:設定 WAF
2.1 購買 WAF
WAF 共有四個版本:Pro、Business、Enterprise 及 Exclusive。每種版本的功能各不相同。下表列出四種版本的功能差異。如需功能差異比較說明,請參閱這份文件:https://www.alibabacloud.com/help/doc-detail/58487.htm

WAF 共有四個版本

2.2 將網站新增至 WAF
若要新增網站至 WAF,您必須先將網站的網域名稱新增至 WAF 主控台,並變更 DNS 記錄,將目的地為網站的流量重新導向至 WAF,以確保安全。
將網站新增至 WAF
將原始伺服器 IP 或負載平衡器 IP 新增為「目的地伺服器」。
針對「Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF」問題,請勾選 [Yes]。我們將於後續步驟設定 CDN 和 Anti-DDoS。
2.3 設定 WAF 保護政策
WAF 提供多種防護功能,可保護您的網站抵禦各種類型的攻擊。在這些功能中,只有 RegEx Protection Engine 和 HTTP Flood Protection 預設為啟用。RegEx Protection Engine 功能可保護網站不受常見的網路攻擊,例如 SQL 插入、XSS 及 webshell 上傳。HTTP Flood Protection 功能可保護網站不受 HTTP 洪水攻擊。您必須手動啟用其他功能並設定保護規則。如需詳細資訊,請點參閱:https://www.alibabacloud.com/help/doc-detail/173612.htm
2.4 為網站啟用 WAF
變更網域名稱的 DNS 記錄,以將網域名稱對應至 WAF 指定的 CNAME 位址。
您可透過這項 DNS 變更,驗證 WAF 是否正常運作。由於我們會在下個步驟設定 CDN 連結至 WAF 服務,因此不需要在驗證完 WAF 功能後進行這項 DNS 變更。
.
步驟 3:設定 CDN

在這個操作步驟中,我們要進行 CDN 設定以改善網站效能。CDN 會使用我們在上個步驟中設為原始伺服器的 WAF CNAME。
3.1 購買 CDN
您必須在使用 CDN 服務之前完成註冊。

購買 CDN

3.2 驗證網域名稱的擁有權
當網域名稱初次加入 Content Delivery Network 時,Alibaba Cloud CDN 會驗證該網域名稱的擁有權。如果您通過驗證程序,Alibaba Cloud CDN 便會將您識別為網域名稱的擁有者。日後再次新增網域名稱或其子網域名稱到 Alibaba Cloud CDN 時,就不需要再進行擁有權驗證程序。您可以使用 Domain Name System (網域名稱系統,DNS) 記錄或上傳驗證檔案,藉此證明擁有權。在以下範例中,我們會以 a.com 示範如何證明網域名稱的擁有權。
3.3 將網域名稱新增至 CDN
針對「origin Info」選擇使用 [Site Domain],即我們在上個步驟中設定的 WAF CNAME。
若要加速「Mainland China Only」及「Global」,您的網域必須具備有效的 ICP 備案。
將網域名稱新增至 CDN
3.4 為網域啟用 CDN
將網域名稱加入 Alibaba Cloud Content Delivery Network (CDN) 之後,Alibaba Cloud CDN 會指派正規名稱 (CNAME) 給該網域名稱。若要為網域名稱啟用 Alibaba Cloud CDN 服務,您必須新增 CNAME 記錄,將網域名稱對應至 CNAME。這樣傳送至該網域名稱的要求才會重新導向至 CDN 節點。
您可以變更 DNS,藉此驗證 CDN 是否正確運作。由於我們會在下個步驟設定 Anti-DDoS,因此不需要在驗證完 CDN 功能後進行這項 DNS 變更。.
步驟 4:設定 Anti-DDoS Pro
阿里雲提供多項 Anti-DDoS 產品。您可以參閱一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段!
Anti-DDoS Origin 原生保護功能啟用之後,即可輕鬆將外部流量重新導向至流量清洗中心。這是最方便且建議採用的防護措施。
當您面臨巨量攻擊,而 Anti-DDoS Origin 無法抵禦攻擊頻寬時,最有效的工具就是 Anti-DDoS Origin BGP 導流。客戶可使用 BGP 宣告,將流量重新轉送至阿里雲的流量清洗中心。Anti-DDoS 是定期執行的服務,會使用 DNS 重新導向功能,將流量重新轉送至阿里雲流量清洗中心。
Anti-DDoS 服務共有兩個版本。Anti-DDoS Pro 的服務區域是中國大陸,而 Anti-DDoS Premium 的服務區域則在境外。在本說明文件中,因為網站源站是內建於中國大陸的 VPC,且大部分使用者是來自中國大陸,所以是以 Anti-DDoS Pro 服務為例。
4.1 購買 Anti-DDoS
登入阿里雲主控台,在「Products and Services」頁面搜尋「Anti-DDoS Pro」,然後前往 Anti-DDoS 主控台。在「Assets」->「Instances」底下,按一下 [Purchase Instances] 。

購買 Anti-DDoS

您必須選擇下列項目才能進行購買。
1.Basic protection (基本防護):這是基本的緩解容量,透過預付取得適當規模的防護。
2.Burstable protection (爆量防護):這是可達到最大的緩解容量。
3.Business scale (企業規模):這是線上業務的頻寬容量。
4.標準功能或增強功能
5.要保護的網域數量
6.乾淨資料的 QPS
7.要保護的連接埠數量
4.2 將網域加入防護
前往 Anti-DDoS 主控台,按一下「Provisioning」底下的 [Website Config],然後按一下 [Add Domain]。
您必須先依據下表選擇功能方案。
將網域加入防護

如需有關如何新增網域的詳細說明,請參閱以下網頁:https://www.alibabacloud.com/help/doc-detail/143347.htm
選擇 [Origin Server Domain] 做為伺服器 IP,然後使用我們在上個步驟設為網域名稱的 CDN CNAME。
為網域名稱的 CDN CNAME

4.3 (選用) 針對非網頁應用程式,請建立連接埠轉送規則。
https://www.alibabacloud.com/help/doc-detail/143349.htm
4.4 設定保護政策、一般政策和自訂政策。
https://www.alibabacloud.com/help/doc-detail/116704.htm
4.5 將流量重新轉送至 Anti-DDoS 流量清洗中心。
如果您想採用一律啟用的 Anti-DDoS 服務模式,可使用 Anti-DDoS CNAME 變更網域 CNAME DNS 記錄;也可選擇在攻擊發生時才變更,這就是所謂的待命模式。
如果您的原始伺服器目前已採用 Elastic IP 和 CDN 等阿里雲服務,則可視需要使用 Sec-Traffic Manger 來管理自動化 Anti-DDoS 防護。
在本說明文件中,我們已啟用 CDN 並選擇使用監測模式。我們採用 Sec-Traffic Manager 讓 Anti-DDoS Pro 和 CDN 之間進行互動。在沒有攻擊發生時,一般流量會直接轉送給 CDN 服務,且不會增加任何延遲。一旦發生攻擊,流量就會改送到 Anti-DDoS Pro 進行清洗和轉送。
如以下螢幕擷取畫面所示,每秒傳送至 CDN 服務的要求超過 1000 個時,就會觸發 Anti-DDoS。
觸發 Anti-DDoS

接著,我們會將網域從 DNS CNAME 變更為 Sec-Traffic Manager CNAME,如以下螢幕擷取畫面所示。

變更為 Sec-Traffic Manager CNAME

果核數位是阿里雲通路合作夥伴,前身為遊戲橘子IDC、資安、系統及網路事業部門,目前為遊戲橘子(6180)和三商電腦(2427)等兩家上市公司合資的專業二類電信公司。
我們擁有三地機房與國內主要電信業者建立直連網路(Direct Peering),提供7X24全時服務台灣多家頂尖的線上遊戲與數位內容公司。數十年豐富的資安防禦經驗,有專業團隊強化企業資安,提供進階威脅防護與手機App防護服務。
雲端服務則高度整合虛擬與實體機房,以及安全即時內容傳遞,一站式全球服務,提供專業技術支援與顧問建議,評估客戶需求提供最適架構,建置佈署效益最大化。

延伸閱讀:
如何提升網站效能優化?推薦5個改善網站速度的方法一次看!
複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!

來源網址: https://www.alibabacloud.com/blog/597922


其他訊息
嚇!手遊資安危機 數小時恐喪失上億營收

嚇!手遊資安危機 數小時恐喪失上億營收

2016/08/10
Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

2016/07/20
注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

2016/07/15
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

2016/04/29
從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

2016/04/27
網銀App漏洞 金管會關注

網銀App漏洞 金管會關注

2016/04/07
Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

2016/04/07
Android逆向之旅---靜態分析技術來破解Apk

Android逆向之旅---靜態分析技術來破解Apk

2015/11/28
Xcode Ghost事件說明及處理建議

Xcode Ghost事件說明及處理建議

2015/09/22
NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

2015/06/01
Critical GHOST vulnerability affects most Linux Systems

Critical GHOST vulnerability affects most Linux Systems

2015/01/30
會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

2017/03/10
駭客工具的氾濫VS企業所面對的資安威脅

駭客工具的氾濫VS企業所面對的資安威脅

2017/05/26
API 安全問題探討

API 安全問題探討

2017/09/09
JAVA世界中不安全的反序列化風險

JAVA世界中不安全的反序列化風險

2018/01/05
來自外部的威脅 - XXE漏洞攻擊成因

來自外部的威脅 - XXE漏洞攻擊成因

2018/06/15
網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

2019/06/04
要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

2020/01/22
注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

2021/06/22
什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

2021/07/13
如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

2021/07/13
常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

2021/07/13
App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

2021/07/22
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

2021/07/30
支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

2021/08/09
預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

2021/08/13
什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

2021/08/20
新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

2021/08/26
從零基礎學破解的駭客工具     Magisk Root,     看懂駭客攻擊如何操作!

從零基礎學破解的駭客工具 Magisk Root, 看懂駭客攻擊如何操作!

2021/09/06
什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

2021/09/15
飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

2021/09/16
什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

2021/09/28
APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

2021/10/04
什麼是滲透測試?從網路資安看Client-Side Template Injection

什麼是滲透測試?從網路資安看Client-Side Template Injection

2021/10/07
手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

2021/10/07
如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

2021/10/25
網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

2021/10/25
如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

2021/11/23
線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

2021/12/13
遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

2021/12/13
企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

2021/12/27
「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

2022/01/03
2021最大資安漏洞!修補方式一次完整揭露

2021最大資安漏洞!修補方式一次完整揭露

2022/01/05
SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

2022/01/14
內容傳遞網路(CDN)提供哪些服務?Alibaba Cloud CDN如何?

內容傳遞網路(CDN)提供哪些服務?Alibaba Cloud CDN如何?

2022/01/18
網站速度太慢怎麼辦,速度也會影響到網站的轉換率嗎?

網站速度太慢怎麼辦,速度也會影響到網站的轉換率嗎?

2022/01/24
OWASP Top 10 2021 十大常見的弱點與風險,如何做好企業資安防護?

OWASP Top 10 2021 十大常見的弱點與風險,如何做好企業資安防護?

2022/02/22
源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?

源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?

2022/04/06
Hack Talk駭客論壇,深度剖析ICS攻擊與Windows提權威脅!

Hack Talk駭客論壇,深度剖析ICS攻擊與Windows提權威脅!

2022/04/11
2021年OWASP Top 10新規範,有效補強企業資安機制缺陷!

2021年OWASP Top 10新規範,有效補強企業資安機制缺陷!

2022/04/20
【企業案例】《今日新聞》融合CDN技術,網站流量成長 50%

【企業案例】《今日新聞》融合CDN技術,網站流量成長 50%

2022/05/04
2021 OWASP Top 10 A02加密機制失效的問題

2021 OWASP Top 10 A02加密機制失效的問題

2022/05/12
多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

2022/06/09
2021 OWASP Top 10 A03 Injection 的攻擊

2021 OWASP Top 10 A03 Injection 的攻擊

2022/07/04
雲端WAF是什麼?WAF應用程式防火牆6點效益,提升網站安全防護力!

雲端WAF是什麼?WAF應用程式防火牆6點效益,提升網站安全防護力!

2022/07/05
網站該建置雲端WAF嗎?如何運用WAF保護您的網站應用程式!

網站該建置雲端WAF嗎?如何運用WAF保護您的網站應用程式!

2022/07/05
2021 OWASP Top 10 A04 不安全設計

2021 OWASP Top 10 A04 不安全設計

2022/08/09