創新技術的快速成長為全球的線上業務帶來了許多新商機。現代人不僅習慣使用網際網路,也很仰賴網際網路進行日常工作,包括購物、玩遊戲、看電影及幾乎所有其他事務。全球的網際網路流量自 2016 年到 2021 年成長了 3.2 倍,年複合成長率達 26%。美國 2020 年的電子商務成長率躍升超過 30%,使線上購物趨勢達到相當於將近 2 年的成長。
不過,這也導致企業在垂直/水平擴充基礎設施以達到相關要求時,面臨全新的挑戰。線上業務擁有者必須密切監控網站,否則只要頁面載入時間太久,就可能會影響轉換率。提升網站效能一直都是 DevOps 團隊永不停歇的工作。
線上業務越來越先進,因此必須持續因應隨之而來的安全威脅。以下是線上業務最常見的前 5 大安全威脅:
為了保護企業並促進事業成功,現在的線上業務在代管安全防護及提升效能方面投入的資源越來越多。
本文將逐步說明如何一起搭配使用 Alibaba Cloud Anti-DDoS、Web Application Firewall (WAF) 及 Cloud Firewall,確保線上業務安全無虞。此外,我們也會說明如何同時運用 Alibaba Cloud CDN 來提升效能。
.
阿里雲提供多種安全防護產品讓您保護線上業務。在本文中,我們會示範如何設定 Anti-DDoS、WAF 及 Cloud Firewall 同時啟用 CDN 來加速線上業務的使用者體驗。
當你不太清楚設定的前後順序,我們建議依照解決方案圖所示進行多層級設定:
接下來,我們就開始建置這些多層級防護。
.
在內部網路和網際網路之間建立防火牆防護非常重要,這是保障原始伺服器的第一層防護。
如果您是在阿里雲架設原始伺服器,則可為原始伺服器設定安全群組,以用來控管原始伺服器上的連入及連外連接埠。以下是安全群組最佳做法:https://www.alibabacloud.com/help/doc-detail/51170.htm
Cloud Firewall 可提供用來控管網際網路邊界流量的網際網路防火牆、控管 VPC 間流量的 VPC 防火牆,以及控管 ECS 執行個體間流量的內部防火牆。您可以使用 Cloud Firewall 集中管理安全群組政策,並將安全群組之間的流量視覺化。
1.1 購買 Cloud Firewall。
1.2 在「Firewalls」頁面上啟用服務。
1.3 按一下「Access Control」頁面右上角的 [Create Policy],以設定存取控制政策。
1.4 在「Intrusion Prevention」頁面上設定入侵預防政策。
1.5 在「Traffic Analysis」頁面上查看流量分析。
您可以查看有關外部連線、網際網路存取、VPC 存取、入侵偵測、IPS 分析和所有存取活動的流量分析。
.
2.1 購買 WAF
WAF 共有四個版本:Pro、Business、Enterprise 及 Exclusive。每種版本的功能各不相同。下表列出四種版本的功能差異。如需功能差異比較說明,請參閱這份文件:https://www.alibabacloud.com/help/doc-detail/58487.htm
2.2 將網站新增至 WAF
若要新增網站至 WAF,您必須先將網站的網域名稱新增至 WAF 主控台,並變更 DNS 記錄,將目的地為網站的流量重新導向至 WAF,以確保安全。
將原始伺服器 IP 或負載平衡器 IP 新增為「目的地伺服器」。
針對「Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF」問題,請勾選 [Yes]。我們將於後續步驟設定 CDN 和 Anti-DDoS。
2.3 設定 WAF 保護政策
WAF 提供多種防護功能,可保護您的網站抵禦各種類型的攻擊。在這些功能中,只有 RegEx Protection Engine 和 HTTP Flood Protection 預設為啟用。RegEx Protection Engine 功能可保護網站不受常見的網路攻擊,例如 SQL 插入、XSS 及 webshell 上傳。HTTP Flood Protection 功能可保護網站不受 HTTP 洪水攻擊。您必須手動啟用其他功能並設定保護規則。如需詳細資訊,請點參閱:https://www.alibabacloud.com/help/doc-detail/173612.htm
2.4 為網站啟用 WAF
變更網域名稱的 DNS 記錄,以將網域名稱對應至 WAF 指定的 CNAME 位址。
您可透過這項 DNS 變更,驗證 WAF 是否正常運作。由於我們會在下個步驟設定 CDN 連結至 WAF 服務,因此不需要在驗證完 WAF 功能後進行這項 DNS 變更。
.
在這個操作步驟中,我們要進行 CDN 設定以改善網站效能。CDN 會使用我們在上個步驟中設為原始伺服器的 WAF CNAME。
3.1 購買 CDN
您必須在使用 CDN 服務之前完成註冊。
3.2 驗證網域名稱的擁有權
當網域名稱初次加入 Content Delivery Network 時,Alibaba Cloud CDN 會驗證該網域名稱的擁有權。如果您通過驗證程序,Alibaba Cloud CDN 便會將您識別為網域名稱的擁有者。日後再次新增網域名稱或其子網域名稱到 Alibaba Cloud CDN 時,就不需要再進行擁有權驗證程序。您可以使用 Domain Name System (網域名稱系統,DNS) 記錄或上傳驗證檔案,藉此證明擁有權。在以下範例中,我們會以 a.com 示範如何證明網域名稱的擁有權。
3.3 將網域名稱新增至 CDN
針對「origin Info」選擇使用 [Site Domain],即我們在上個步驟中設定的 WAF CNAME。
若要加速「Mainland China Only」及「Global」,您的網域必須具備有效的 ICP 備案。
3.4 為網域啟用 CDN
將網域名稱加入 Alibaba Cloud Content Delivery Network (CDN) 之後,Alibaba Cloud CDN 會指派正規名稱 (CNAME) 給該網域名稱。若要為網域名稱啟用 Alibaba Cloud CDN 服務,您必須新增 CNAME 記錄,將網域名稱對應至 CNAME。這樣傳送至該網域名稱的要求才會重新導向至 CDN 節點。
您可以變更 DNS,藉此驗證 CDN 是否正確運作。由於我們會在下個步驟設定 Anti-DDoS,因此不需要在驗證完 CDN 功能後進行這項 DNS 變更。
.
阿里雲提供多項 Anti-DDoS 產品。您可以參閱一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段!
Anti-DDoS Origin 原生保護功能啟用之後,即可輕鬆將外部流量重新導向至流量清洗中心。這是最方便且建議採用的防護措施。
當您面臨巨量攻擊,而 Anti-DDoS Origin 無法抵禦攻擊頻寬時,最有效的工具就是 Anti-DDoS Origin BGP 導流。客戶可使用 BGP 宣告,將流量重新轉送至阿里雲的流量清洗中心。Anti-DDoS 是定期執行的服務,會使用 DNS 重新導向功能,將流量重新轉送至阿里雲流量清洗中心。
Anti-DDoS 服務共有兩個版本。Anti-DDoS Pro 的服務區域是中國大陸,而 Anti-DDoS Premium 的服務區域則在境外。在本說明文件中,因為網站源站是內建於中國大陸的 VPC,且大部分使用者是來自中國大陸,所以是以 Anti-DDoS Pro 服務為例。
4.1 購買 Anti-DDoS
登入阿里雲主控台,在「Products and Services」頁面搜尋「Anti-DDoS Pro」,然後前往 Anti-DDoS 主控台。在「Assets」->「Instances」底下,按一下 [Purchase Instances] 。
您必須選擇下列項目才能進行購買。
4.2 將網域加入防護
前往 Anti-DDoS 主控台,按一下「Provisioning」底下的 [Website Config],然後按一下 [Add Domain]。
您必須先依據下表選擇功能方案。
如需有關如何新增網域的詳細說明,請參閱以下網頁:https://www.alibabacloud.com/help/doc-detail/143347.htm
選擇 [Origin Server Domain] 做為伺服器 IP,然後使用我們在上個步驟設為網域名稱的 CDN CNAME。
4.3 (選用) 針對非網頁應用程式,請建立連接埠轉送規則。
https://www.alibabacloud.com/help/doc-detail/143349.htm
4.4 設定保護政策、一般政策和自訂政策。
https://www.alibabacloud.com/help/doc-detail/116704.htm
4.5 將流量重新轉送至 Anti-DDoS 流量清洗中心。
如果您想採用一律啟用的 Anti-DDoS 服務模式,可使用 Anti-DDoS CNAME 變更網域 CNAME DNS 記錄;也可選擇在攻擊發生時才變更,這就是所謂的待命模式。
如果您的原始伺服器目前已採用 Elastic IP 和 CDN 等阿里雲服務,則可視需要使用 Sec-Traffic Manger 來管理自動化 Anti-DDoS 防護。
在本說明文件中,我們已啟用 CDN 並選擇使用監測模式。我們採用 Sec-Traffic Manager 讓 Anti-DDoS Pro 和 CDN 之間進行互動。在沒有攻擊發生時,一般流量會直接轉送給 CDN 服務,且不會增加任何延遲。一旦發生攻擊,流量就會改送到 Anti-DDoS Pro 進行清洗和轉送。
如以下螢幕擷取畫面所示,每秒傳送至 CDN 服務的要求超過 1000 個時,就會觸發 Anti-DDoS。
接著,我們會將網域從 DNS CNAME 變更為 Sec-Traffic Manager CNAME,如以下螢幕擷取畫面所示。
.
現在已完成這項多層級防護解決方案的設定,其中一共採用了 Cloud Firewall、WAF、CDN 和 Anti-DDoS。在實際專案中,您可以選擇採用全部或一部分的防護功能。
如您對這份逐步指南有任何建議,歡迎告訴我們。
如想動手嘗試,可以點此頁面找尋相關產品試用優惠,或與我們聯繫,持續推行您的創新里程!
本篇作者為 Leaf Ye, Alibaba Cloud Solution Architect ,原文連結:https://www.alibabacloud.com/blog/empower-online-businesses-with-alibaba-cloud-anti-ddos-waf-cdn-and-cloud-firewall_597138
45 posts | 4 followers
FollowAlibaba Cloud TC Content - August 11, 2021
Alibaba Cloud TC Content - July 9, 2021
Alibaba Cloud TC Content - August 5, 2021
Alibaba Cloud TC Content - June 8, 2021
Alibaba Cloud TC Content - May 18, 2021
Alibaba Cloud TC Content - July 29, 2021
45 posts | 4 followers
Follow
WAF(Web Application Firewall)
A cloud firewall service utilizing big data capabilities to protect against web-based attacks
Learn More
CDN(Alibaba Cloud CDN)
A scalable and high-performance content delivery service for accelerated distribution of content to users across the globe
Learn More
Cloud Firewall
Provides traffic control and security protection for the Internet, virtual private cloud (VPCs), and hosts in VPCs
Learn More
Anti-DDoS
A comprehensive DDoS protection for enterprise to intelligently defend sophisticated DDoS attacks, reduce business loss risks, and mitigate potential security threats.
Learn MoreMore Posts by Alibaba Cloud TC Content
