腾讯云网站管家WAF 一指禅
原创
腾讯云网站管家优势陈述腾讯云网站管家:共享腾讯Web 安全防护能力,让受护用户Web 业务轻松部署腾讯业务安全级别防护能力
- 防护对象:互联网Web 业务,如网站门户,互联网+站点,Webmail, APP 等面向互联网的Web 业务
- 关键动作: 针对用户所有互联网Web 业务应用方案设计,将云WAF 防护纳入整体设计架构(WAF 是用户互联网Web 业务安全防护的标配,应对应用业务层Web 攻击威胁问题)
- 应用范围:适用于腾讯云内及云外所有用户Web 业务防护(Web 业务服务器互联网可达)
NOTES: WAF 目前大致分为硬件WAF 和云WAF 两种(部署在虚拟机层的vWAF 不做讨论)。Gartner2017 年WAF 魔力象限指出,到2020 年,云WAF 将替换硬件WAF 成为主流:1. 云WAF 提供更强的新技术应用能力,如基于安全大数据及威胁人工智能检测能力2. 高可用,防护能力弹性伸缩,满足跟随业务增长的防护需求3. 零硬件,部署运维简单,防护体系扩展能力强。
1 产品介绍
腾讯云网站管家,Web 应用防火墙(Web Application Firewall,WAF),是一款专业为用户网站及Web应用打造的防护平台。
企业组织通过部署腾讯云网站管家服务,将Web 业务的攻击压力转移到腾讯云WAF 集群节点,轻松获取业界最高Web 攻击防护能力。部署腾讯云网站管家,客户的Web 业务防护相当于:
- 部署腾讯Web 业务安全级别防护能力
- 共享腾讯安全大数据威胁人工智能能力
- 获取业界顶尖腾讯安全联合实验室及安全专家攻防对抗能力
2 典型需求及腾讯云网站管家方案价值
网站及Web 业务应用承载了组织大量核心业务的开展,一旦出现安全事件问题,将带来直接业务损失及严重品牌影响,甚至触犯《网络安全法》(一般主管为第一责任人):
行业业务 | 典型需求及腾讯云网站管家方案价值 | 典型功能 | 客户案例 |
|---|---|---|---|
互联网+业务 | 互联网+企业站点门户安全防护,保障业务持续可用,核心数据不被 入侵篡改窃取,支撑互联网+的企业核心业务正常稳定运营。 ▪ 对Bot 程序访问行为进行识别及管理,协助企业反爬虫管理策略,解 决恶意爬虫业务营销数据抓取行为,内容版权侵权行为,黑产SEO, 垃 圾流量负面影响问题。 ▪ 一键整合高防,轻松应对突发大流量DDoS 功能问题。 ▪ 云防护服务低延迟,高可用,防护性能跟随业务弹性增长。 | ▪ Web 攻击防护 ▪ 漏洞虚拟补丁 ▪ 数据防泄漏 | ▪ 腾讯音乐 ▪ QQ 空间 ▪ 同程旅游 ▪ 南方新媒体 ▪ 安利(中国) |
电商O2O 站点 | ▪ 在高并发抢购及各类营销活动场景下,智能过滤恶意攻击及爬虫等垃 圾访问,保障正常业务访问流畅,确保营销策略有效开展。 ▪ 对Bot 程序访问行为进行识别及管理,协助企业反爬虫管理策略,解 决恶意爬虫带来的竞争比价,库存恶意查询等行为,业务数据抓取分 析行为,内容版权侵权行为,黑产SEO, 垃圾流量负面影响问题。 ▪ 有效监测DNS 链路劫持行为,防止网站被劫持,造成用户品牌信誉 受损及用户金融损失。 ▪ 一键整合高防,轻松应对突发大流量DDoS 功能问题。 ▪ 云防护服务低延迟,高可用,防护性能跟随业务弹性增长。 | ▪ 网页防篡改 ▪ Bot 行为管理 ▪ CC 攻击防护 ▪ DNS 劫持检测 ▪ 安全报表 ▪ 28线BGP 线路 接入防护,节点 全球负载集群, 防护性能弹性 伸缩,独享防 护,用户间防护 隔离 | ▪ 摩拜单车 ▪ 拼多多 |
金融网站 | ▪ 有效检测入侵撞库拖库等异常访问,保护用户信息不外泄。 ▪ 有效监测DNS 链路劫持,防止网站流量被恶意指向,造成金融损失。 ▪ 识别管理Bot 行为,协助泛金融企业反爬虫管理策略,避免金融产品 信息被爬取,金融策略外泄等风险 | ▪ 香港交易所 ▪ 微众银行 ▪ 搜狗金融 ▪ 微信支付 | |
民生政务网站 | ▪ 保证民生政务网站(政务,医疗,教育,社保,税务等)内容不会被 黑篡改,民生服务正常可用,民众访问满意畅通,民生数据不被入侵 窃取泄漏,规避敏感安全事件带来的政治影响问题。 ▪ 减少安全人员投入,云WAF 轻松接入防护,零部署零运维。 | ▪ 广东省政务云 ▪ 福建省政务云 | |
企业网站 | ▪ 保障企业门户网站不被入侵挂马篡改,规避由网站安全事件带来的经 济及企业品牌形象损失问题。 ▪ 减少安全人员投入,云WAF 轻松接入防护,零部署零运维,随业务 增长弹性扩展,节省成本。 | ▪ 招商局 ▪ 蔚来汽车 |
3 优势说明(针对云WAF 方案)
腾讯云网站管家优势陈述 | |||
|---|---|---|---|
首先,腾讯云网站管家基于腾讯自营业务防护经验积累所诞生,历经威胁攻击防护实践沉淀,具备最前沿的Web 安全防护实践能力。 包括QQ 空间,微信支付,腾讯网,QQ 音乐等业务均使用了腾讯云网站管家防护服务。 1、业界顶尖Web 应用安全防护:相对行业其他厂商具备更高Web 威胁防护能力,保障用户Web 防护能力处于最前沿水平: AI+规则双引擎:更及时精准的威胁识别- 应对0day 漏洞攻击等未知威胁问题;低误判,低漏判,不影响业务 腾讯安全大数据威胁情报:亿级黑产数据(黑IP,代理等),动态感知网络空间威胁情况- 防护更有效率 腾讯安全联合实验室:业内最前沿威胁研究实验室- 持续输入最新漏洞攻击形态,攻防对抗技术 2、独特Web 运营安全防护功能:安全防护为业务运营服务,满足业务运营层面安全防护需求: 独特专业针bot 机器人程序及虫行为管理方案,协助企业的反Bot 及反爬虫策略- 独有 独特DNS 域名劫持检测方案,防止域名被劫持风险- 借助腾讯管家终端检测能力 一键接入高防,应对突发超大流量DDoS 攻击问题- 其它方案往往需要花费数小时时间配置接入高防,防护不及时、 3、高速稳定的云防护服务:低延迟(云WAF 引入延迟10ms 以内),高可用,防护性能跟随业务弹性增长: 28 线BGP 线路接入防护,节点全球负载集群,防护性能弹性伸缩,用户间防护隔离 | |||
典型功能优劣对比概述 | |||
功能特性 | 腾讯云 | 阿里云 | 传统安全厂商(安恒,360..) |
业务层面安全防护,如bot机器人程序行为管理方案 | 基于AI 技术甄别,分类并呈现友好(搜索引擎,广告程序等)及恶意(刷单,比价,库存查询等)机器人程序,详细报表 | 仅CC 攻击拦截及简单的控制措施,无配置选项,无数据报表界面 | 仅CC 攻击拦截 |
DNS 劫持检测 | 具备,及时感知DNS 劫持情况,避免Web站点用户访问被劫持访问伪造站点风险 | 不具备 | 360 具备,其它不具备 |
应用AI 检测引擎 | 基于概率图,更优的AI 算法 | 基于语义分析,可被高段黑客绕过 | 通常不具备,缺乏大数据基础及技术积累 |
大数据威胁情报 | 优秀,腾讯丰富业务产品线安全防护实践 积累+业界顶尖腾讯安全联合实验室 | 优秀,阿里安全防护实践 | 缺乏大数据基础,传统企业接收互联网的攻 击面(实践积累)有限 |
防护稳定性速度性保障 | 优秀,相比阿里,腾讯基础架构资源优势, 对全国乃至全球不同区域的用户接入站点 延迟更低(云WAF 引入延迟10ms 以内) | 优秀 | 一般,传统厂商防护架构不具备良好云计算 节点及资源接入基础 |
4 下一步:
1. 了解解决方案及功能细节:腾讯云网站管家产品白皮书
2. Web 业务安全防护搭配方案组件:
- 腾讯云上用户:网站管家(Web 安全)+大禹(抗DDoS)+云镜(主机安全)+天御(业务安全)
- 腾讯云外用户:网站管家(Web 安全)+大禹(抗DDoS)
5 技术方案概述
安全问题 | 业务影响 | 腾讯云防护功能 |
|---|---|---|
黑客入侵数据窃取 | ▪ 商业数据泄露,业务竞争力受损 ▪ 恶劣社会影响,严重时遭到政府主管单位罚款甚至被要求关闭整改 | ▪ Web 攻击防护,防止Webshell,被入侵等 ▪ 数据防泄漏:检测外传数据,对外泄传输数据做替换隐藏 |
业务漏洞暴露 | ▪ 0Day 漏洞层出不穷,一旦修复不及时,将直接将业务暴露给互联网黑客攻击威胁中 ▪ 网安网信监管单位通报,甚至遭受《网络安全法》处罚,法律风险 | 漏洞虚拟补丁:在云端部署针对漏洞攻击的防护策略(虚拟补丁),不响应针对漏洞的攻击,即对外漏洞不存在 |
网站被篡改或植入 | ▪ 网站站被篡改或植入色情,赌博,枪支,私服等涉黄涉政内容,损害企业形象 ▪ 被网安网信等监管/主管单位通报,触犯《网络安全法》 | ▪ 将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果。 ▪ 当源站由于受到攻击遭到篡改后,对外发布的内容依然为缓存中的正常网页,避免篡改事件扩散 |
网络机器人恶意数据爬取 | 航空票务、在线购物、社保信息、招聘简历、网络社交等网站信息,如商品信息,折扣价格,用户信息被竞争对手等采用网络机器人及爬虫工具恶意爬取与并利用,造成数据泄露风险或业务策略大打折扣。 | ▪ 对友好及恶意机器人程序进行甄别分类,并采取针对性的管理策略,如放通搜索引擎类机器人流量,而对恶意数据爬取商品信息流量采取不响应策略, ▪ 应对恶意机器人程序爬取带来的资源消耗,信息泄露及无效营销问题,同时也保障友好机器人程序(如搜索引擎,广告程序)的正常运行。 |
域名非法劫持持 | 用户访问被劫持指向到伪造网页,一方面可能造成用户无法正常浏览业务网页,另一方面用户可能被诱骗到冒牌网站进行登录等操作导致大量用户隐私数据泄露。 | ▪ 借助于腾讯海量终端的检测与云端强大数据分析能力,对受护域名进行全国范围的DNS 验证,感知及详细地展示受护域名在各个地域的劫持情况 |
DDoS 攻击 | 直接导致关键门户网站及业务系统不能正常访问,组织业务无法开展,用户流失及业务经济损失。 | ▪ 针对突发DDoS 攻击问题,一键方便接入大禹,能够无缝和百G 大流量高防包整合 |
6 FAQ:
问题1: 部署腾讯云网站管家,我的业务架构需要如何做调整?
腾讯云网站管家通过修改CNAME 接入,零硬件部署,无需对硬件架构做更改。注意:接入网站管家防护后,
需要手动将网站管家回源IP 加入到网络现有防护的安全组,避免云WAF 数据被现有防护拦截,造成断网。
问题2: 非腾讯云内的服务器能否使用网站管家(WAF)?
网站管家支持云外机房用户接入。Web 应用防火墙可以保护任何公网的服务器,包括但不限于腾讯云,其他
厂商的云,IDC 等。注意: 在大陆地区接入的域名必须按照工信部要求进行ICP 备案。
问题3: 网站管家(WAF)是否支持HTTPS 防护?
网站管家全面支持HTTPS 业务。只需根据提示将SSL 证书及私钥上传,或者选择腾讯云托管证书,Web 应
用防火墙即可防护HTTPS 业务流量。
问题4: 网站管家(WAF)QPS 限制规格是针对整个实例,还是配置的单个域名的QPS 上限?
网站管家QPS 限制规格是针对整个实例。配置防护三个域名,则这三个域名累加的QPS 不能超过规定上限。
如果超过已购买的实例的QPS 限制,将触发限速,导致丢包。
问题5: 网站管家(WAF)的源站IP 可以填写腾讯云CVM 内网IP 吗?
目前网站管家不支持填写CVM 内网IP。
问题6: 网站管家(WAF)可以直接利用高防包么?
可以,在高防包配置页面可以直接选择网站管家(WAF)实例的IP 即可让网站管家具备高防能力
问题7:网站管家(WAF)如何同CDN 或高防包一起接入?
网站管家可直接将高防包叠加,CDN 的源站指向网站管家(WAF)实例的VIP 即可。最佳部署架构:
客户端> CDN > 网站管家(WAF)+高防包> 负载均衡> 源站
在客户需要CDN 和高防能力时,只要将网站管家接入后提供的CNAME 配置为CDN 的源站即可,同时可
以将高防包叠加到网站管家(WAF)实例上。这样,即可实现经过CDN 之后,被转发至网站管家(WAF)
同时具备大流量DDOS 的清洗能力,最终转发至源站,对源站进行全面的安全防护。
问题8:网站管家(WAF)能够保护在一个域名下的多个源站IP 吗?
支持,一个网站管家(WAF)域名防护最多支持20 个。
问题9:网站管家(WAF)配置多个源站时如何负载?
如果配置了多个回源IP,网站管家(WAF)采用轮询的方式对访问请求进行负载均衡。
问题10:网站管家(WAF)是否支持健康检查?
网站管家(WAF)默认启用健康检查。网站管家(WAF)会对所有回源IP 进行接入状态检测,如果某个回
源IP 没有响应,网站管家(WAF)将不再将请求转发到这个回源IP 直到接入状态回复正常。
问题11: 网站管家(WAF)是否支持会话保持?
网站管家(WAF)支持会话保持,默认开启。
问题12: 在网站管家(WAF)管理控制台中,更改配置后大约需要多少时间生效?
一般情况下,更改后的配置在10s 内即可生效。
问题13: 网站管家(WAF)的回源IP 段是多少?
123.207.88.0/24
123.207.124.0/24
119.29.245.0/24
139.199.169.0/24
123.207.83.0/24
119.29.218.0/24
119.29.106.0/24
118.89.61.0/24
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。