背景
Web应用(网站、APP、API、H5、小程序等)支撑超过90%的线上业务,这些应用在对外提供服务的同时,也成为了攻击者进入内部服务器或数据库的通道。Web应用面临的常见威胁包括通过各类Web漏洞侵入服务器、上传木马、篡改网页内容、非法爬取数据、垃圾账号注册、恶意下单等。根据相关网络安全合规要求,网络服务提供者必须采取有效措施,确保其服务的基本安全防护措施到位。Web应用(网站、APP、API、H5、小程序等)支撑超过90%的线上业务,这些应用在对外提供服务的同时,也成为了攻击者进入内部服务器或数据库的通道。Web应用面临的常见威胁包括通过各类Web漏洞侵入服务器、上传木马、篡改网页内容、非法爬取数据、垃圾账号注册、恶意下单等。根据相关网络安全合规要求,网络服务提供者必须采取有效措施,确保其服务的基本安全防护措施到位。
案例一案例一
2016年,美国某轻博客网站超6,500万邮箱账号密码等数据惨遭泄露,涉及泄露的邮箱账号和密码达65,469,298个。2016年,美国某轻博客网站超6,500万邮箱账号密码等数据惨遭泄露,涉及泄露的邮箱账号和密码达65,469,298个。
案例二案例二
2020年,欧洲某知名国际体育迷网站在遭受网络攻击后,泄露大约132GB数据,包含约7,000万条记录,涉及约10万名会员的私人信息。2020年,欧洲某知名国际体育迷网站在遭受网络攻击后,泄露大约132GB数据,包含约7,000万条记录,涉及约10万名会员的私人信息。
如何防护 Web 应用
使用阿里云WAF对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。服务于金融、电商、O2O、互联网+、游戏、政府、保险等众多行业。使用阿里云WAF对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。服务于金融、电商、O2O、互联网+、游戏、政府、保险等众多行业。
方案具有以下优点:
1. 防护能力强:能够防护WEB攻击、恶意爬虫,配合精准访问控制,对WEB类业务提供强有力防护。1. 防护能力强:能够防护WEB攻击、恶意爬虫,配合精准访问控制,对WEB类业务提供强有力防护。
2. 充分发挥云资源联动优势:多种云资源联动,实现自动识别资产,提供透明接入等便捷一站式操作环境。2. 充分发挥云资源联动优势:多种云资源联动,实现自动识别资产,提供透明接入等便捷一站式操作环境。
3. 攻击分析追踪溯源能力:支持全量日志存储,提供场景化日志分析报表以及可视化态势大屏,全面覆盖分析、展示、溯源场景。3. 攻击分析追踪溯源能力:支持全量日志存储,提供场景化日志分析报表以及可视化态势大屏,全面覆盖分析、展示、溯源场景。
4. AI、情报赋能:采用AI智能引擎有效防护新型攻击,同时海量情报也能助力用户更快、更准识别威胁。4. AI、情报赋能:采用AI智能引擎有效防护新型攻击,同时海量情报也能助力用户更快、更准识别威胁。
5. 提供全面的业务场景防护:针对常用的网站、APP、API均提供针对性的解决方案,防护不留死角。5. 提供全面的业务场景防护:针对常用的网站、APP、API均提供针对性的解决方案,防护不留死角。
6. 配置全球自动实时同步、实现全球多机、多集群、多中心容灾、一键回源Bypass、SLA 全年99.95%、高危风险指标钉钉群推送预警。6. 配置全球自动实时同步、实现全球多机、多集群、多中心容灾、一键回源Bypass、SLA 全年99.95%、高危风险指标钉钉群推送预警。
与传统方案对比
对比项
传统硬件WAF或自建WAF方案
阿里云WAF
接入成本
硬件WAF要厂商派人去机房上架、改变网络拓扑、测试。自建则需要大量的开发和测试工作。
一键接入和启用防护。
维护成本
需要厂商专家上门或自建安全团队+运维团队来维护。人员成本高,维护效率低。
云上免维护的SaaS服务,业内顶级专家经验沉淀。7x24钉群答疑,一个非专业安全人员即可轻松维护。
防护能力
防护规则和威胁情报更新慢且无法自动化,设备吃灰现象普遍。
0day漏洞1小时自动应急,云端海量计算资源、大数据加持下的算法模型、威胁情报持续自动更新。
部署和容灾
多为本地机房部署,要全方位考虑从物理机房到软件系统的容灾机制。
公共云/混合云/多云灵活部署,云上多集群自动容灾调度,自带一定程度的DDoS防御。
计费方案
一次性支出,大量闲置资源,扩容方案复杂。
即开即用,即关即走,支持包年包月/按量计费,弹性扩容。
WAF 应用场景
应用场景
业务价值
WEB攻击防护
自动化防护基础WEB攻击,免攻击困扰。
网络爬虫攻击防护
智能化BOT防护,免除无终止的策略优化。
访问控制
灵活的配置入口提供强自定义的访问配置能力。
多云场景防护
统一防护方案,全面接入兼容,减少跨平台管理成本。
安全合规
提供全面的数据、分析工具溯源支撑。
API安全
主动发现资产(网站、APP、API),避免防护纰漏。
方案介绍
高效防护 Web 应用

WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。

方案部署
01部署准备
准备您的阿里云账号,以及需要配置Web防护的ECS实例。
02开通WAF
您可以通过免费试用或者前往控制台开通Web应用防火墙。
03将 ECS 实例接入WAF
将ECS实例接入WAF,WAF会自动生成防护对象,并为其默认开启基础防护规则。
04验证方案
在浏览器中输入域名进行访问测试,如果网站可以正常访问,则表示ECS已成功接入WAF。
除本方案示例外,无论要防护的web业务在公有云、混合云、多云或线下IDC机房(支持流量不上云),阿里云WAF均可以灵活接入和统一管控,实时识别、处置混杂在业务访问中的web攻击与bot(爬虫)流量,并主动发现数据泄露等风险。除本方案示例外,无论要防护的web业务在公有云、混合云、多云或线下IDC机房(支持流量不上云),阿里云WAF均可以灵活接入和统一管控,实时识别、处置混杂在业务访问中的web攻击与bot(爬虫)流量,并主动发现数据泄露等风险。
方案权益
  • █████

  • █████

  • █████

解决方案推荐
从 HTTP 到 HTTPS 让网站更安全
在ECS上部署Web应用是常见的业务场景,用户使用HTTP请求访问网站域名,浏览器通常会显示“感叹号”,提醒用户当前访问的站点存在安全风险。为了解决该问题,需要网站支持HTTPS协议访问。HTTPS协议可以防偷窥、防篡改及完成服务端身份验证等,保证请求全链路的数据访问安全。本方案介绍如何在ECS上搭建Web应用以及在Nginx服务器上部署SSL证书开启HTTPS安全访问。
ECS 数据备份与保护
随着企业核心业务规模不断扩大,需要根据业务需求对生产环境中的关键数据进行定期备份,在发生误操作、病毒感染、或攻击等情况时,能够快速从已有的快照恢复到某个历史状态,从而最大程度减少数据丢失带来的损失。