php网站开发优点,ui设计培训机构有用吗,动漫制作专业用手提电脑,东莞建设一个网站网络安全态势严峻#xff0c;常见的五大网络攻击风险类型 赵伟认为#xff0c;企业线上服务所面临的安全风险#xff0c;主要来自以下五个方面#xff1a; DDoS攻击 DDoS攻击类型已有20多年历史#xff0c;它攻击方式简单直接#xff0c;通过伪造报文直接拥塞企业上联带…  网络安全态势严峻常见的五大网络攻击风险类型 赵伟认为企业线上服务所面临的安全风险主要来自以下五个方面 DDoS攻击 DDoS攻击类型已有20多年历史它攻击方式简单直接通过伪造报文直接拥塞企业上联带宽。随着IoT等终端设备增多网络攻击量也愈发凶猛。根据阿里云安全中心报告显示在2019年超过100G的攻击已经比较常见而且超过 500G 的攻击也已经成为常态。一旦企业服务面临这种情况上联带宽被打满正常请求无法承接就会导致企业服务无法正常提供线上服务。因此防御DDoS 攻击依然是企业首先要投入去应对的问题。 CC攻击 相比于四层DDoS攻击伪造报文CC攻击通过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等。常见的方式是访问需要服务器进行数据库查询的相关请求这种情况想服务器负载以及资源消耗会很快飙升导致服务器响应变慢甚至不可用。 Web攻击 常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF等。与DDoS和CC以大量报文发起的攻击相比Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标。一旦攻击行为实施成功要么网站的数据库内容泄露或者网页被挂马。数据库内容泄露严重影响企业的数据安全网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。 恶意爬虫 根据阿里云安全中心的报告数据显示2019年恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%。恶意爬虫通过去爬取网站核心的内容比如电商的价格信息等对信息进行窃取同时也加重服务器的负担。 劫持篡改 劫持和篡改比较常见当网站被第三方劫持后流量会被引流到其他网站上导致网站的用户访问流量减少用户流失。同时对于传媒、政务网站来说内容被篡改会引发极大的政策风险。 企业线上业务需要构建多层次纵深防护 面对愈发严峻的网络安全态势为了应对以上安全风险企业在关注线上业务的流畅、稳定的同时也要构建多层次纵深防护体系从各个层面建立响应的应对措施和防护机制。 在网络层需要进行DDoS攻击的清洗和处理当造成更严重影响需要通过切换IP以及联合黑洞机制去缓解。 在传输层相较于传统明文传输通过https的支持去进行传输层面加密来避免证书伪造。 在应用层需要进行CC防护、防爬、业务防刷的能力部署防止恶意攻击者刷带宽的情况发生避免经济和业务损失。贴近源站的防护方面需要部署WAF和防篡改对源站和内容进行防护。 企业需要在网络层、传输层、应用层等多层次构建防护能力同时在应用层对于不同场景要有不同防护措施。 基于CDN构建边缘安全高防中心防护安全架构 基于对纵深防护的理解阿里云CDN的安全架构是基于CDN分布式节点实现的边缘安全防护机制同时联动高防清洗中心进行防护。 如下图所示整体安全架构第一层防护就是构建在全球CDN节点上将更多安全能力加强在边缘节点上通过多层次多维度流量数据统计和攻击检测的能力包括DDoS、HTTP访问信息等数据汇总到安全大脑安全大脑再对数据进行综合分析针对不同层次的攻击下发相应的动态防御策略到边缘节点。与此同时边缘节点自身也会进行自动防御和清洗。另外整体安全架构将WAF和防篡改能力部署在回源节点上对攻击到达源站之前进行防御。如果源站希望只在CDN服务之下不想暴露在公网上整体架构也会基于CDN提供源站高级防护能力避免源站被恶意扫描者被发现。 对于金融、政府等场景需要具备大流量抗D的能力CDN有海量边缘节点通过自己的调度和清洗能力把大部分DDoS攻击给消化掉。当一旦出现更严重的DDoS攻击时安全大脑会指导智能调度将被攻击的流量切换到高级防护节点去清洗。 阿里云CDN安全架构三个核心能力 在以上的CDN安全架构基础之上赵伟也对DDoS防护智能调度、Web防护以及机器流量管理三个核心能力进行解读。 一、DDoS防护智能调度边缘节点分布式抗D与高防中心大流量抗D联动 DDoS防护智能调度的策略是业务流量缺省通过CDN分发最大程度确保加速效果和用户体验而当检测到大流量 DDoS 攻击之后智能调度会判断严重程度并决策由高防进行 DDoS清洗同时根据攻击情况进行区域调度或全局调度而当DDoS 攻击停止后智能调度系统会自动决策将高防服务的业务流量调度回 CDN 边缘节点尽最大可能的保证正常加速效果。 DDoS防护智能调度最核心就是边缘加速、智能调度、T级防护三块边缘加速的基础上具备充分的DDoS攻击检测以及智能调度的能力决策什么时候进行高防去清洗严重的攻击进入T级防护中心进行清洗。目前方案已经在金融行业、传媒行业沉淀了典型客户。 二、Web防护——八层安全功能层层过滤恶意请求 Web防护的策略是通过层层过滤来抵御恶意请求。第一层是精准访问控制指具体对http请求的拦截策略第二层是区域封禁对业务无效区或者异常地域请求进行拦截第三层IP信誉系统是利用阿里云多年积累的互联网IP大数据画像对恶意行为进行分类并对IP进行拦截第四层是黑名单系统是对某些UA或者IP进行拦截以上四层都属于精确拦截第五层是频次控制对相对高频且访问异常IP进行拦截第六层是对于互联网机器流量进行管理阻断恶意爬虫第七第八层是WAF和源站高级防护对于源站进行更深层次的防护。 赵伟认为CDN边缘节点是最接近互联网用户的在所有的访问请求中可能有正常用户的请求当然也会存在爬虫、注入、跨站的访问请求经过以上逐层的防护策略过滤掉相应恶意请求最终可以达到只有正常请求返回源站的效果。 三、机器流量管理——识别互联网Bot流量阻断恶意爬虫 机器流量管理部署在边缘当各种互联网访问进入CDN边缘节点之后机器流量管理系统会提取最原始的Client信息分析信息计算Client特征值并与阿里云安全积累的机器流量特征库进行匹配最终识别结果正常访问、搜索引擎、商业爬虫这些行为是网站期望的行为会被放行而恶意爬虫会被拦截。在处置动作上机器流量管理相比当前常见嵌入在正常页面中的行为侵入性有所降低支持相对平滑的接入。 下图是一个实际的案例在执行机器流量管理策略的时候首先会对某域名进行流量分析左侧图是针对某域名开启机器流量分析后识别出超过 82% 的请求为恶意爬虫然后开启拦截机器流量中的恶意爬虫流量后如右侧图所示域名峰值带宽下降超过80%。 CDN目前已经是互联网流量的主要入口把安全能力注入CDN边缘节点为客户提供一站式安全加速解决方案成为行业大势所趋。在发布会的最后赵伟分享到未来阿里云政企安全加速解决方案将在场景化、便捷化、智能化三个方面深耕为客户提供更贴近需求的、更快捷省心的、更智能高效的安全策略让CDN可以成为每个企业在线服务的第一道防线来保障企业应用的安全、稳定运行。 点击回顾发布会详情 活动福利 2020年6月30日前CDN加速10Mbps以内带宽免费试用1个月30Gbps DDoS防护、高级版WAF试用1周并赠送一次漏洞扫描服务总名额限100个先到先得。 点击填写表单参与活动 答疑钉钉群34249460 原文链接 本文为云栖社区原创内容未经允许不得转载。