在阿里云的安全类云产品中,Web应用防火墙与云防火墙是用户比较关注的安全类云产品,二则在作用上并不是完全一样的,Web应用防火墙是一款网站Web应用安全的防护产品,云防火墙是一款公共云环境下的SaaS化防火墙,本文为大家介绍一下Web应用防火墙与云防火墙产品各自主要的作用。
一、阿里云安全产品Web应用防火墙是什么?有什么作用?
阿里云安全产品Web应用防火墙是什么?
Web应用防火墙是一款网站Web应用安全的防护产品,拦截针对您网站发起的Web通用攻击(如SQL注入、XSS跨站等)或是应用资源消耗型攻击(CC),同时也可以满足您网站从流量管理角度来防御业务风险,例如Bot防御、账户安全等场景。Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。
阿里云Web应用防火墙产品优势
1、10年以上网络安全经验
建立在阿里巴巴集团10年以上的网络安全经验上,提供与淘宝、天猫、支付宝等成功应用案例同样的安全体验。
由专业的安全团队为您提供服务。
抵御已知的OWASP漏洞并不断修复披露漏洞。
2、防御CC攻击和爬虫攻击
帮助您抵御和减缓CC攻击。
帮助您防御网络爬虫,避免网络资源消耗。
检测和阻挡恶意请求,帮助您减少带宽消耗,防止数据库、SMS、API资源亏空,减少响应延时,避免宕机等。
针对多样业务场景支持自定义防护规则。
3、集成大数据能力
每天约抵御数亿次网络攻击。
拥有丰富的IP数据库。
拥有广泛的应用案例,对各类常见网络攻击的模式、方法和签名有大量研究。
大数据分析不断整合先进的技术。
4、简易性、可靠性
5分钟内部署和激活。
无需安装任何软硬件或调整路由配置。
通过防护集群作用,避免单点故障和冗余。
防护流量处理性能高。
阿里云Web应用防火墙产品功能
1、Web入侵防护
- 自动防护漏洞
0day web应用漏洞小时级自动防御,无需人工打补丁。 - 多重动态防御
自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角。 - 防扫描及探测
根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点。 - 防护规则可自定义
可根据业务实际需求,灵活自定义防护规则。
2、流量管理和爬虫防控
- 灵活的流量管理功能
支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求 - CC攻击防护
基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood) - 精准识别爬虫
基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异 - 全场景防控
适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险 - 丰富的爬虫处置手段
可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段 - 场景化配置
场景化配置引导,帮助0经验快速上手阿里最佳实践
3、数据安全防控
- 保护API安全
主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口。 - 防敏感信息泄露
检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露。 - 防页面篡改
通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变。 - 检测账户风险
自动识别撞库、暴力破解、弱口令等常见账号风险。
4、安全运维与合规
- 安全接入
一键实现HTTPS、全链路IPv6、智能负载均衡、云上云下高可用和快速容灾。 - 全量访问日志
记录和存储全量Web访问日志,支持实时SQL查询分析和自定义告警。 - 自动化资产识别
基于云上大数据,全面发现未接入防护的域名资产,收敛攻击面。 - 混合云部署
支持流量不上云的本地防护。 - 满足等保合规
满足各行业等保合规需求。
阿里云Web应用防火墙应用场景
适用于阿里云以及阿里云外所有用户,主要用于金融、电商、O2O、互联网+、游戏、政府、保险等行业各类网站的Web应用安全防护。
1、Web应用基础安全防护场景
Web应用上云必备安全能力:提供web应用0day漏洞自动防护,无需人工打补丁和修复,且能帮助你有效降低网站、H5、APP、小程序等web应用被黑客及病毒入侵,减少挂马、网页篡改、爬虫、数据泄露、CC攻击等风险。
2、业务风险防护场景
防业务作弊,防薅羊毛:业务运营活动大流量带来的系统可用性,折扣优惠等带来的“薅羊毛”等问题屡见不鲜,会严重影响运营效果、甚至出现负面影响。阿里云基于集团多年的业务运营经验,为客户提供完整的业务运营风险防护方案。
3、混合云/多云防护场景
Web应用防火墙混合云/多云解决方案:通过将云WAF防护集群部署客户的本地环境,支持公有云、专有云、线下IDC、机房等多种环境下Web业务防护,且通过阿里云WAF控制台支持云上、云外统一管控和运维。
图说阿里云Web应用防火墙防护配置
二、阿里云安全产品云防火墙是什么?有什么作用?
云防火墙是什么?
阿里云云防火墙是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护与等保合规利器。
阿里云云防火墙最新活动:
产品首购:云防火墙高级版/企业版/旗舰版包年产品首购享75折
新老同享:云防火墙高级版/企业版/旗舰版包年新老同享8折
更多优惠:云防火墙按量节省套餐包新老同享49折优惠
详情:https://www.aliyun.com/product/cfw
阿里云云防火墙功能概述
云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙,为您提供互联网、虚拟网络、主机三种边界防护。
1、互联网边界防火墙
互联网边界防火墙作用于互联网边界,对所有公网IP统一管控。
2、主机边界防火墙
主机防火墙对应安全组,对ECS间通信进行管控。
3、VPC边界防火墙
VPC边界防火墙作用于VPC边界,对云企业网和高速通道流量进行管控。
阿里云云防火墙使用场景说明
互联网边界、主机边界防火墙和VPC边界防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。
1、满足精细化的访问控制需求
云防火墙提供集中式的访问控制,也就是出方向、入方向访问控制策略,提供了应用、域名等精细化访问控制策略。
云防火墙可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
2、满足微隔离的访问控制需求
云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。
同时,为您提供策略的观察模式、拦截访问分析、智能策略等能力。
阿里云云防火墙产品功能
1、精细化访问控制
可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向),提供流量监控、精准访问控制、实时入侵防御等功能,支持全网流量可视和业务间访问关系可视,全面保护您的网络安全。
2、资产暴露管理
支持对互联网暴露资产的统一管理以及分析,资产包括:开放公网IP、开放端口、开放应用、云产品; 详情包括:公网IP、资产实例、应用、端口、7日流量占比、风险评估、协议(云产品)、健康状态(云产品)、所属可用区(云产品)等。
3、安全正向代理
提供安全正向代理,对NAT网关出公网的流量进行防护。NAT网关访问互联网的流量会先经过云防火墙安全正向代理,实现对内网IP访问互联网的流量进行访问控制和防护。
4、入侵检测与防御IPS
云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。
5、主动外连检测与封禁
支持云内资源的主动外联网络侧检测,协助客户判断恶意外连请求。主动外联功能向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。
6、流量可视化
支持全网流量可视和业务间访问关系可视。
7、网络日志审计
通过云防火墙的所有流量会在日志审计页面记录下来,包括流量日志、事件日志和操作日志,帮助您实时审计您的网络流量,并为您对可疑流量进行相应的处理提供依据。
阿里云云防火墙防护范围
云防火墙可以防护以下云资产或流量:
1、互联网边界防火墙(南北向)
ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。
2、VPC边界防火墙(东西向)
- 企业版转发路由器的VPC边界防火墙
同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。
多个VBR互访的流量。
CCN和VBR互访的流量。 - 基础版转发路由器的VPC边界防火墙
同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。 - 高速通道VPC边界防火墙
高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量。
VPC对等连接模式下,同地域多个VPC互访的流量。
主机边界防火墙:ECS实例之间的流量。
阿里云云防火墙推荐配置
根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。
1、公网防护需求
如果您只有公网流量防护需求,就只需要在互联网边界防火墙处配置即出方向或入方向访问控制策略。
2、主机防护需求
如果您在防护公网流量的同时,还需要防护主机(ECS)之间的流量,可以将互联网边界防火墙和主机边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在主机边界防火墙处配置策略组访问控制策略。
3、跨VPC&云上云下防护需求
如果您在防护公网流量的同时,还需要防护VPC之间、VPC与IDC之间的流量,可以将互联网边界防火墙和VPC边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在VPC边界防火墙处配置访问控制策略。
更多阿里云安全类云产品请参考云安全优惠活动:https://www.aliyun.com/activity/daily/promotion_security_activity,阿里云基础安全类产品SSL证书、Web应用防火墙、云防火墙、云安全中心,数据安全类产品数据安全中心、运维安全中心(堡垒机)、数据库审计,业务安全类产品风险识别-通用资源包、DDoS高防等云安全产品在这里都有优惠。
