iT邦幫忙

2021 iThome 鐵人賽

DAY 16
1
自我挑戰組

30天走入亞洲雲端黑馬阿里雲系列 第 16

Day 16 彈性使用網路安全-WAF

  • 分享至 

  • xImage
  •  

網際網路的興盛離不開Http、Https兩種協議的功勞,但在網路世界中,DDOS、CC Attack、Http Flood的災情頻傳,駭客們通過鑽研各種協議的漏洞,來達成耗損網站資源以至於無法正常運作
正所謂,害人之心不可有;防人之心不可無,因此也要好好保護自己的網站

分散式阻斷服務攻擊(Distributed Denial of Service,DDoS)

為目前一種最常見的網路攻擊,因其攻擊的技術難度不高甚至訪間都有很多攻擊程式可以找的到,並且攻擊目標大多為網路服務目的是開放給大眾的金融、遊戲娛樂、電商平台、影音直播..等產業,因此無法透過一些網路防火牆的限制方式完全拒絕攻擊,因此能直接的造成提供的服務不可用的重大商業損失

幾種常見的DDoS目的:

  • 消耗網路頻寬資源:大量佔用目標物伺服器頻寬造成網路堵塞
    ICMP Flood、UDP Flood、SSDP Attack、NTP Amplification Attacks、DNS Amplification Attacks、Memcached Amplification Attacks

  • 消耗伺服器資源:透過TCP三項交握協議特性,達到目標伺服器CPU及RAM過載
    SYN Flood、SYN ACK Flood、ACK Flood、ICMP Flood、Sockstress Attack

  • 消耗應用服務資源:透過大量session及特殊封包模式等,增加回應時間造成應用的功能瓶頸
    HTTP Flood(CC)、DNS Flood、SSL Flood、Slowloris Attack

https://ithelp.ithome.com.tw/upload/images/20210928/20140353nIRoQsNuiC.png
常見的DDOS攻擊類型


網頁應用防火牆(Web Application Firewall,WAF)

網頁應用防火牆(Web Application Firewall,WAF),主要是針對Web、APP等服務而建構出的第七層防禦服務,並針對分散式Http Flood(CC Attack)、SQL Injection、惡意Bot爬蟲等OWASP top 10等網路攻擊行為進行防護,同時WAF也是反向代理的結構,可以避免後端伺服器或是負載均衡直接暴露IP

https://ithelp.ithome.com.tw/upload/images/20210928/20140353QYSNxX1zdW.png

實務操作WAF:

  1. 在目錄選擇Web應用防火牆後,選擇網站接入
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353xVOERpFxor.png

  2. 填入欲保護的域名
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353OvjrJbF1RU.png

  3. 協議類型可按照需求進行勾選,但建議按照此處配置;同時如果後端有設置Load Balancer,這裡將之前建立好的ALB的域名填入
    https://ithelp.ithome.com.tw/upload/images/20210928/201403534l1tYDyVTT.png

  4. 配置WAF負載均衡邏輯,這裡使用輪詢的方式,因為我們在前面使用了CDN因此如果需要知道連線使來源IP並需要勾選取X-Forwarded-For
    https://ithelp.ithome.com.tw/upload/images/20210928/2014035391mKwBIIbd.png

  5. 完成後需要將WAF的域名解析到更換到CDN的來源域名上,如果後端伺服器有限制IP記得要將WAF回源IP加入白名單
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353OEQbXAUNAK.png
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353Wu63jfMotF.png

  6. 因為之前有選擇Https的傳輸模式,因此要上傳SSL證書
    https://ithelp.ithome.com.tw/upload/images/20210928/201403534fxn5GL7Ym.png
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353Yhc31CE5r5.png

  7. 為了驗證WAF是否真的可以提供防護,這裡透過工具進行CC攻擊的壓力測試
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353uahoA7XfPO.png

  8. 可以在左邊列安全報表及總覽檢視目前狀態,驗證攻擊有被阻攔下來
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353RMTScrMs3D.png
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353fk3dnrfcvf.png

  9. 如果需要對異常IP設置黑名單,選擇網站防護>訪問控制>IP黑名單>加入欲封禁的IP
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353gQK1DkK3x0.png
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353klD9gXSlEC.png

  10. 封禁成功後,驗證使用該IP連網站會跳出405
    https://ithelp.ithome.com.tw/upload/images/20210928/20140353Xc7VqcdXVm.png

另外阿里雲在平台資料可視化這部分做的比較勤,如需要酷炫直觀的WAF監控牆,也有已經提供已經刻好圖表服務
https://ithelp.ithome.com.tw/upload/images/20210928/20140353yTikduus1T.png

到這裡的基本功能操作就驗證完成囉!WAF主要針對Http、Https等第七層的網路行為做精細化的防禦規則,但對於大流量的傳輸層卻不再防護的範疇中,下一篇會針對阿里雲的大流量三、四層網路攻擊進一步探討


上一篇
Day 15 雲安全中心 & 雲防火牆
下一篇
Day 17 大流量網路安全-Anti-DDoS
系列文
30天走入亞洲雲端黑馬阿里雲30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言