摘要:为应对618期间“大起大落”的流量带来的防护压力,华为云WAF送出三个制胜妙招,为你独家定制防护引擎、智能防御CC和防绕过锦囊。
每年,华为商城上都会有各类手机新品的抢购活动,经常会出现短时间内用户量和服务器请求暴涨的情况,比如2019年11月,华为推出可折叠手机Mate X的5G版时,华为商城上仅开售一秒就销售一空。
如何应对这种双11、618大促等重大活动时“大起大落”的流量带来的防护压力,如何区分哪些是正常访问哪些不是,在重大活动之外如何做好日常防护,这是每个电商网站都会遇到的问题。
这里介绍一款无论是在平常还是在流量高峰期,都护航着华为商城安全的产品——华为云Web应用防火墙(Web Application Firewall,简称WAF),其中独享防护引擎、智能防御CC和防绕过这几个功能几乎是为防护电商平台特制的。
WAF独享版专为“大电商”平台准备
大的电商平台使用的传统的云WAF有很多优势,但也存在一些限制和问题,成为大促、节假日期间高流量、高并发下的瓶颈,影响电商平台的稳定性。:
1、必须要有域名,才能使用云WAF;
2、添加防护域名后,如果客户端直接访问IP,云WAF会被绕过;
3、无法防护通过专线/VPN接入华为云的业务;
4、无法检测内网间的互相访问;
5、因存在DNS缓存刷新间隔,bypass云WAF并不能在短时间100%切换流量,会影响部分业务。
为此,华为云发布了一个全新的WAF版本——独享版,它并非简单的将防护资源给用户独享,而是做了架构上的重新设计,它将防护引擎下沉到用户VPC内,检测能力由用户独享,管理控制面仍然在华为云上。这种架构既保持了管理和配置的统一,又能让用户独享检测能力,满足大电商平台高并发下的安全防护需求。为用户带来诸多价值:
(1)独享的防护资源
避免大并发、大流量情况下租户互相影响,同时用户可以完全支配引擎资源。
(2)丰富的接入方式
由于云WAF引擎下沉到了用户VPC内,因此不需要再利用DNS技术对业务引流,只要有IP地址,即可实现WAF防护,同时跨VPC的流量也能通过独享WAF来防护;另外,由于VPN和专线流量也会在网关处被终结,因此独享WAF也可以防护VPN和专线流量。
(3)灵活的策略配置
用户独享所有策略资源,在处理性能几乎不下降的情况下,防护规则数量可扩大至万级,同时还可支持更丰富的规则配置项,方便电商网站把长期积累的安全实践变为规则导入WAF继续使用,保护历史的安全投入。
智能防CC帮助电商平台阻挡“假用户”
CC攻击以冒充海量的“真用户”来访问目标网站,导致网站资源耗尽、崩溃而著称。而且这种现象在618大促期间更容易频发,对电商网站而言,其面临以下CC攻击挑战:
1、产生的攻击误报较多,电商网站需要花费大量时间人工查看是否是误报;
2、依靠人工进行流量分析或使用特定的工具来创建防护规则都需要消耗较多的时间和精力。而直接使用通用防护规则,要么容易产生误报,要么无法起到预期的防护效果;
3、发生攻击后,如响应不够及时,业务就遭受损失,对电商网站而言,几秒钟、几分钟的网站崩溃会导致收入和用户量大幅下降。
为解决这些挑战,华为云在年中安全新品发布会上推出了智能防CC攻击的特性。其具体功能如下:
1、在线学习:能够追踪电商业务变化与趋势,对流量进行建模,评估误报风险。
2、异常检测:检测业务流量中的异常内容,快速发现,即时响应。
3、自动生成规则: 针对异常请求快速生成防护规则。
4、分析攻击行为: 对攻击行为进行特征提取及建模,以应对伪装成合法请求的攻击行为。
5、反馈优化:根据电商用户使用智能防CC的效果,自动优化防护模型,一步步迭代,以提供更精准的防护策略。
6、保护敏感及隐私数据: 电商网站收集到的敏感用户信息较多,而智能防CC可自动避免采集用户敏感或隐私数据,防止敏感信息泄露。
深度检测,让攻击无处隐藏
电商网站还面临“绕过”攻击。其指通过各种方式“绕开”安全防护产品的检测,而直接攻击安全防护产品保护的内网、服务器等资源,使得网站的安全防护形同虚设。
网上分享安全防护产品绕过方法的文章层出不穷,绕过手段不断更新、变化多端,更加大了对网站的安全的挑战。
攻击者为了让攻击不被WAF检测,会利用各种编码变形以伪装请求。而华为云WAF具备深度检测能力,覆盖20多种编码的还原能力,包括命令注入攻击、同形字、多层多种嵌套还原等等,让变形后的攻击暴露出其“原形”,让攻击无处隐藏。
当然,WAF的功能还远不止以上3点,如WAF还具备自动转换IPv4和IPv6地址、拦截常见的Web攻击等,但这3点与其他功能组合起来,就能保障无论是在平常还是高流量大并发情况下电商网站的平稳运营。
618终于结束了,大家有囤防脱洗发水吗?有作法保佑后台服务器吗?618不仅是销售额的比拼,更是技术实力间的较量。开发者关心什么?华为云官方揭秘618背后的神秘黑科技:聊聊有哪些厉害的技术,能大大提高程序员的幸福感?欢迎看看我们的黑科技攻略专题,留下你的想法哦~