電商網(wǎng)站攻與防：看華為云如何護(hù)航華為商城

這里介紹一款無論是在平常還是在流量高峰期，都護(hù)航著華為商城安全的產(chǎn)品——華為云Web應(yīng)用防火墻（Web Application Firewall，簡稱WAF），其中獨(dú)享防護(hù)引擎、智能防御CC和防繞過這幾個(gè)功能幾乎是為防護(hù)電商平臺特制的。

      近期，618大戰(zhàn)如火如荼，各商家不僅是銷售額的比拼，更是技術(shù)間的較量。開發(fā)者關(guān)心的是什么？華為云官方揭秘618背后的神秘黑科技：聊聊有哪些厲害的技術(shù)，能為618大促保駕護(hù)航？能大大提高程序員的幸福感？

       每年，華為商城上都會有各類手機(jī)新品的搶購活動(dòng)，經(jīng)常會出現(xiàn)短時(shí)間內(nèi)用戶量和服務(wù)器請求暴漲的情況，比如2019年11月，華為推出可折疊手機(jī)Mate X的5G版時(shí)，華為商城上僅開售一秒就銷售一空。

       如何應(yīng)對這種雙11、618等重大活動(dòng)時(shí)“大起大落”的流量帶來的防護(hù)壓力，如何區(qū)分哪些是正常訪問哪些不是，在重大活動(dòng)之外如何做好日常防護(hù)，這是每個(gè)電商網(wǎng)站都會遇到的問題。

       這里介紹一款無論是在平常還是在流量高峰期，都護(hù)航著華為商城安全的產(chǎn)品——華為云Web應(yīng)用防火墻（Web Application Firewall，簡稱WAF），其中獨(dú)享防護(hù)引擎、智能防御CC和防繞過這幾個(gè)功能幾乎是為防護(hù)電商平臺特制的。

WAF獨(dú)享版專為“大電商”平臺準(zhǔn)備

      大的電商平臺使用的傳統(tǒng)的云WAF有很多優(yōu)勢，但也存在一些限制和問題，成為大促、節(jié)假日期間高流量、高并發(fā)下的瓶頸，影響電商平臺的穩(wěn)定性。：

        1、必須要有域名，才能使用云WAF；

        2、添加防護(hù)域名后，如果客戶端直接訪問IP，云WAF會被繞過；

        3、無法防護(hù)通過專線/VPN接入華為云的業(yè)務(wù)；

        4、無法檢測內(nèi)網(wǎng)間的互相訪問；

        5、因存在DNS緩存刷新間隔，bypass云WAF并不能在短時(shí)間100%切換流量，會影響部分業(yè)務(wù)。

       為此，華為云發(fā)布了一個(gè)全新的WAF版本——獨(dú)享版，它并非簡單的將防護(hù)資源給用戶獨(dú)享，而是做了架構(gòu)上的重新設(shè)計(jì)，它將防護(hù)引擎下沉到用戶VPC內(nèi)，檢測能力由用戶獨(dú)享，管理控制面仍然在華為云上。這種架構(gòu)既保持了管理和配置的統(tǒng)一，又能讓用戶獨(dú)享檢測能力，滿足大電商平臺高并發(fā)下的安全防護(hù)需求。為用戶帶來諸多價(jià)值：

 1. 獨(dú)享的防護(hù)資源

        避免大并發(fā)、大流量情況下租戶互相影響，同時(shí)用戶可以完全支配引擎資源。

2. 豐富的接入方式

        由于云WAF引擎下沉到了用戶VPC內(nèi)，因此不需要再利用DNS技術(shù)對業(yè)務(wù)引流，只要有IP地址，即可實(shí)現(xiàn)WAF防護(hù)，同時(shí)跨VPC的流量也能通過獨(dú)享WAF來防護(hù)；另外，由于VPN和專線流量也會在網(wǎng)關(guān)處被終結(jié)，因此獨(dú)享WAF也可以防護(hù)VPN和專線流量。

3. 靈活的策略配置

        用戶獨(dú)享所有策略資源，在處理性能幾乎不下降的情況下，防護(hù)規(guī)則數(shù)量可擴(kuò)大至萬級，同時(shí)還可支持更豐富的規(guī)則配置項(xiàng)，方便電商網(wǎng)站把長期積累的安全實(shí)踐變?yōu)橐?guī)則導(dǎo)入WAF繼續(xù)使用，保護(hù)歷史的安全投入。

智能防CC幫助電商平臺阻擋“假用戶”

        CC攻擊以冒充海量的“真用戶”來訪問目標(biāo)網(wǎng)站，導(dǎo)致網(wǎng)站資源耗盡、崩潰而著稱。而且這種現(xiàn)象在618電商大促期間更容易頻發(fā)，對電商網(wǎng)站而言，其面臨以下CC攻擊挑戰(zhàn)：

        1、產(chǎn)生的攻擊誤報(bào)較多，電商網(wǎng)站需要花費(fèi)大量時(shí)間人工查看是否是誤報(bào)；

        2、依靠人工進(jìn)行流量分析或使用特定的工具來創(chuàng)建防護(hù)規(guī)則都需要消耗較多的時(shí)間和精力。而直接使用通用防護(hù)規(guī)則，要么容易產(chǎn)生誤報(bào)，要么無法起到預(yù)期的防護(hù)效果；

        3、發(fā)生攻擊后，如響應(yīng)不夠及時(shí)，業(yè)務(wù)就遭受損失，對電商網(wǎng)站而言，幾秒鐘、幾分鐘的網(wǎng)站崩潰會導(dǎo)致收入和用戶量大幅下降。

        為解決這些挑戰(zhàn)，華為云在年中安全新品發(fā)布會上推出了智能防CC攻擊的特性。其具體功能如下：

        1、在線學(xué)習(xí)：能夠追蹤電商業(yè)務(wù)變化與趨勢，對流量進(jìn)行建模，評估誤報(bào)風(fēng)險(xiǎn)。

        2、異常檢測：檢測業(yè)務(wù)流量中的異常內(nèi)容，快速發(fā)現(xiàn)，即時(shí)響應(yīng)。

        3、自動(dòng)生成規(guī)則: 針對異常請求快速生成防護(hù)規(guī)則。

        4、分析攻擊行為: 對攻擊行為進(jìn)行特征提取及建模，以應(yīng)對偽裝成合法請求的攻擊行為。

        5、反饋優(yōu)化:根據(jù)電商用戶使用智能防CC的效果，自動(dòng)優(yōu)化防護(hù)模型，一步步迭代，以提供更精準(zhǔn)的防護(hù)策略。

        6、保護(hù)敏感及隱私數(shù)據(jù): 電商網(wǎng)站收集到的敏感用戶信息較多，而智能防CC可自動(dòng)避免采集用戶敏感或隱私數(shù)據(jù)，防止敏感信息泄露。

深度檢測，讓攻擊無處隱藏

        電商網(wǎng)站還面臨“繞過”攻擊。其指通過各種方式“繞開”安全防護(hù)產(chǎn)品的檢測，而直接攻擊安全防護(hù)產(chǎn)品保護(hù)的內(nèi)網(wǎng)、服務(wù)器等資源，使得網(wǎng)站的安全防護(hù)形同虛設(shè)。

        網(wǎng)上分享安全防護(hù)產(chǎn)品繞過方法的文章層出不窮，繞過手段不斷更新、變化多端，更加大了對網(wǎng)站的安全的挑戰(zhàn)。

        攻擊者為了讓攻擊不被WAF檢測，會利用各種編碼變形以偽裝請求。而華為云WAF具備深度檢測能力，覆蓋20多種編碼的還原能力，包括命令注入攻擊、同形字、多層多種嵌套還原等等，讓變形后的攻擊暴露出其“原形”，讓攻擊無處隱藏。

        當(dāng)然，WAF的功能還遠(yuǎn)不止以上3點(diǎn)，如WAF還具備自動(dòng)轉(zhuǎn)換IPv4和IPv6地址、攔截常見的Web攻擊等，但這3點(diǎn)與其他功能組合起來，就能保障無論是在平常還是高流量大并發(fā)情況下電商網(wǎng)站的平穩(wěn)運(yùn)營。