干货 | 利用京东云Web应用防火墙实现Web入侵防护
摘要
本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云、其它公有云或者IDC)进行Web完全防护的全过程。该指南包括如下内容:
准备环境
在京东云上准备Web网站
购买京东云Web应用防火墙实例
配置Web应用防火墙
增加Web应用防火墙实例的网站配置
在云平台放行WAF回源IP
本地验证配置
修改域名解析配置
测试Web防护效果
发起正常访问
发起异常攻击
分析安全报表
准备环境
1 在京东云上准备Web网站
在京东云上选择CentOS系统创建一台云主机,分配公网IP,安装Nginx,并在域名解析服务上配置域名和IP的映射。具体的Web应用信息如下:
1# 操作系统信息
2[root@waf-demo ~]# cat /etc/redhat-release
3CentOS Linux release 7.6.1810 (Core)
4
5# 安装dig命令,该命令可显示域名的解析情况
6bash
7[root@waf-demo ~]# yum install bind-utils -y
8[root@waf-demo ~]# dig -v
9DiG 9.9.4-RedHat-9.9.4-72.el7
10
11# Nginx服务信息
12[root@waf-demo ~]# service nginx status
13Redirecting to /bin/systemctl status nginx.service
14● nginx.service - The nginx HTTP and reverse proxy server
15 Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
16...
在配置完域名和公网IP映射后,通过dig命令可获得域名解析情况。
1[root@waf-demo ~]$ dig waf-demo.jdcoe.top +trace
2...
3waf-demo.jdcoe.top. 60 IN A 114.67.85.98
4;; Received 63 bytes from 153.99.179.161#53(ns2.jdgslb.com) in 13 ms
通过互联网远程访问该Web网站。
1MacBook:~ user001$ curl http://waf-demo.jdcoe.top -I
2HTTP/1.1 200 OK
3Server: nginx/1.12.2
4Date: Mon, 24 Dec 2018 03:22:21 GMT
5Content-Type: text/html
6Content-Length: 3700
7Last-Modified: Tue, 06 Mar 2018 09:26:21 GMT
8Connection: keep-alive
9ETag: "5a9e5ebd-e74"
10Accept-Ranges: bytes
2 购买京东云Web应用防火墙实例
进入京东云控制台,点击云安全, Web应用防火墙, 套餐购买, 进入"Web应用防火墙 - 购买“界面,选择需要企业版套餐(每种套餐规格请参考套餐详情)。具体的购买界面如下图:
在购买完成后,将在实例管理界面中看到所购买的实例信息。
配置Web应用防火墙
在使用京东云Web应用防火墙保护网站前,需要完成下列配置,才能实现用户提交的HTTP/HTTPS访问请求通过Web应用防火墙检测后,再发送到Web网站。
1 配置Web应用防火墙实例的防护网站
在Web应用防火墙界面,点击网站配置,添加网站, 在下面界面中输入相关配置信息。
界面参数具体描述如下:
- 域名:输入需要保护的网站的域名;
- 协议:缺省选择HTTP,如果网站支持HTTPS,则选择HTTPS,并选择SSL证书;
- 服务器地址:网站的IP;
- 服务器端口:网站的访问端口;
- 是否已使用代理:缺省选择"否",但如果网站还使用了IP高防服务,也就是访问请求来自于IP高防,则应选择“是";
- 负载均衡算法:当配置多个源站IP,WAF在将过滤后的访问请求回源时,将按照IP Hash或轮询的方式去做负载均衡。
- 新创建的网站配置的防护设置是处于关闭状态,需要点击防护配置链接进入配置界面。
在网站防护配置界面中,设置Web应用攻击防护状态为On模式为防护,防护规则策略等级为严格。设置CC安全防护状态为On,模式为正常。
2 本地验证配置
在网站配置列表界面中,能获得为被防护网站生成的CNAME。针对域名“waf-demo.jdcoe.top",生成的WAF CNAME是waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com.
通过执行ping命令,能获得Web应用防火墙的IP地址为101.124.23.163。
1MacBook:etc user001$ ping waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com
2PING waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com (101.124.23.163): 56 data bytes
364 bytes from 101.124.23.163: icmp_seq=0 ttl=49 time=57.525 ms
4^C
5--- waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com ping statistics ---
61 packets transmitted, 1 packets received, 0.0% packet loss
7round-trip min/avg/max/stddev = 57.525/57.525/57.525/0.000 ms
应用安全网站不允许通过生成的CNAME或者IP地址进行访问,如果直接访问,将报“Bad Request“错误。
1MacBook:etc user001$ curl waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com
2<h1> Bad Request </h1>MacBook:etc user001$
3MacBook:etc user001$ curl 101.124.23.163
4<h1> Bad Request </h1>MacBook:etc user001$
修改本机IP地址101.124.23.163和域名waf-demo.jdcoe.top的映射,在Linux下,域名配置文件为/etc/hosts。
1101.124.23.163 waf-demo.jdcoe.top
然后在本地执行如下命令“curl waf-demo.jdcoe.top -I”,将在显示Server是jfe,表明已经通过Web应用防火墙。
1MacBook:~ user001$ curl waf-demo.jdcoe.top -I
2HTTP/1.1 200 OK
3Server: jfe
4Date: Mon, 24 Dec 2018 07:12:03 GMT
5Content-Type: text/html
6Content-Length: 3700
7Connection: keep-alive
8Last-Modified: Tue, 06 Mar 2018 09:26:21 GMT
9ETag: "5a9e5ebd-e74"
10Accept-Ranges: bytes
此时,看Web的访问日志,将看到如下信息,表明请求已经通过Web应用防火墙,然后转发到Web源站。
1101.124.23.116 - - [24/Dec/2018:15:12:04 +0800] "HEAD / HTTP/1.0" 200 0 "-" "curl/7.54.0" "117.136.0.210"
3 在云平台放行WAF回源IP
在对源站配置了WAF服务后,源站原则上只能接收来自WAF的转发请求。网站云主机最初的安全组配置如下,这样任何客户端都可以直接访问Web网站。
通过curl命令能直接访问Web网站。
1MacBook:~ user001$ curl 114.67.85.98 -I
2HTTP/1.1 200 OK
3Server: nginx/1.12.2
4Date: Mon, 24 Dec 2018 07:20:08 GMT
5Content-Type: text/html
6Content-Length: 3700
7Last-Modified: Tue, 06 Mar 2018 09:26:21 GMT
8Connection: keep-alive
9ETag: "5a9e5ebd-e74"
10Accept-Ranges: bytes
京东云WAF服务所采用的IP地址为如下:
1101.124.31.248/30
2101.124.23.116/30
314.116.246.0/29
4103.40.15.0/29
因此需要在安全组中删除允许所有源IP都可访问Web网站的规则,并增加允许上述地址段可以访问Web网站的规则。修改后的安全组配置信息如下图:
这样Web网站将只接收来自WAF的请求,而不能直接访问。
1# 不能直接访问源站
2MacBook:~ user001$ curl 114.67.85.98 -I
3^C
4# 可以通过WAF服务访问源站
5MacBook:~ user001$ curl waf-demo.jdcoe.top -I
6HTTP/1.1 200 OK
7Server: jfe
8Date: Mon, 24 Dec 2018 07:52:19 GMT
9Content-Type: text/html
10Content-Length: 3700
11Connection: keep-alive
12Last-Modified: Tue, 06 Mar 2018 09:26:21 GMT
13ETag: "5a9e5ebd-e74"
14Accept-Ranges: bytes
4 修改域名解析配置
最后,需要在域名解析上修改原域名的解析规则,下面是京东云的云解析为例,配置域名waf-demo.jdcoe.top的CNAME为 waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com。
最后删除本机域名和IP地址的静态映射,然后执行dig命令,将看到为域名waf-demo.jdcoe.top配置的CNAME。
1[root@waf-demo ~]# dig waf-demo.jdcoe.top +trace
2...
3waf-demo.jdcoe.top. 60 IN CNAME waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com.
4;; Received 107 bytes from 59.37.144.32#53(ns1.jdgslb.com) in 28 ms
测试Web防护效果
1 发起正常访问
在一台机器上正常访问页面,能获得正常响应,同时在Web网站上能看到访问日志。
1[root@jdcoe-bastion ~]# curl waf-demo.jdcoe.top/index.html -I
2HTTP/1.1 200 OK
3Server: jfe
4Date: Mon, 24 Dec 2018 08:35:24 GMT
5Content-Type: text/html
6Content-Length: 3700
7Connection: keep-alive
8Last-Modified: Tue, 06 Mar 2018 09:26:21 GMT
9ETag: "5a9e5ebd-e74"
10Accept-Ranges: bytes
Nginx网站访问日志
1101.124.31.248 - - [24/Dec/2018:16:35:24 +0800] "HEAD /index.html HTTP/1.0" 200 0 "-" "curl/7.29.0" "114.67.95.131"
2 发起异常攻击
下面模拟一个"文件读取/包含攻击",也就是说在HTTP请求中包含读取特定的系统问题。在无WAF防护的情况下,Web网站将返回如下信息:
1[root@waf-demo ~]# curl localhost/index.html/etc/passwd -I
2HTTP/1.1 404 Not Found
3Server: nginx/1.12.2
4Date: Mon, 24 Dec 2018 08:37:15 GMT
5Content-Type: text/html
6Content-Length: 3650
7Connection: keep-alive
8ETag: "5a9e5ebd-e42"
但是如果通过WAF防护,WAF将检测出请求中包含了对敏感文件访问,因此阻止该访问请求。
1[root@jdcoe-bastion ~]# curl waf-demo.jdcoe.top/index.html/etc/passwd -I
2HTTP/1.1 403 Forbidden
3Server: jfe
4Date: Mon, 24 Dec 2018 08:37:22 GMT
5Content-Type: text/html
6Content-Length: 162
7Connection: keep-alive
3 安全分析报表
京东云WAF将根据配置阻断非法的HTTP请求,并通过安全报表获得攻击的来源和攻击类型的相关信息。下图是WAF实例下的waf-demo.jdcoe.top网站的防护报告。
环境清理
本指南会用到云主机、公网带宽和Web应用防火墙等收费资源。如果购买时采用按配置计费,建议删除资源。
总结:
本指南介绍了如何利用Web应用防火墙实现一个网站的安全防护。通过Web应用防火墙对HTTP/HTTPS请求的检测和过滤,减少因应用安全漏洞所造成的信息泄漏风险。
欢迎点击“链接”了解更多精彩内容
干货 | 利用京东云Web应用防火墙实现Web入侵防护的更多相关文章
- 利用京东云Web应用防火墙实现Web入侵防护
摘 要 本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云.其它公有云或者IDC)进行Web完全防护的全过程.该指南包括如下内容: 1 准备环境 1.1 在京东 ...
- 利用京东云擎架设免费Wordpress 博客(git方式)
京东云擎(JAE)是京东推出的一款公有云产品,是京东云平台生态圈的核心组成部分.与百度的BAE.新浪的SAE同样.可是JAE刚上线不久,可能非常多人都还没听说过或不太了解.我尝试在JAE安装WordP ...
- 如何利用京东云的对象存储(OSS)上传下载文件
作者:刘冀 在公有云厂商里都有对象存储,京东云也不例外,而且也兼容S3的标准因此可以利用相关的工具去上传下载文件,本文主要记录一下利用CloudBerry Explorer for Amazon S3 ...
- 利用京东云Serverless服务快速构建5G时代的IoT应用
10月31日,在2019年中国国际信息通信展览会上,工信部宣布:5G商用正式启动.5G商用时代来了! 5G的商用,使得数据传输速度.响应速度.连接数据.数据传输量.传输可靠性等方面都有了显著的提升,这 ...
- 干货 | 京东云应用负载均衡(ALB)多功能实操
应用负载均衡(Application Load Balancer,简称ALB)是京东云自主研发的一款七层负载均衡产品,主要面向HTTP和HTTPS流量的WEB应用程序,提供灵活的功能配置.应用负载均衡 ...
- Web应用防火墙云WAF详细介绍
Web应用防火墙,或叫Web应用防护系统(也称为:网站应用级入侵防御系统.英文:Web Application Firewall,简称: WAF).利用国际上公认的一种说法:Web应用防火墙是通过执行 ...
- 干货 | 玩转云文件存储——利用CFS实现web应用的共享访问
京东云文件服务(Cloud File Service,以下简称:CFS)是一种高可靠.可扩展.可共享访问的全托管分布式文件系统.它可在不中断应用服务的情况下,根据您对文件系统的使用,按需扩展或缩减,并 ...
- 干货 | 京东云Kubernetes集群+Traefik实战
摘要 Traefik支持丰富的annotations配置,可配置众多出色的特性,例如:自动熔断.负载均衡策略.黑名单.白名单.所以Traefik对于微服务来说简直就是一神器. 利用Traefik,并结 ...
- 干货 | 京东云原生容器—SpringCloud实践(一)
"云原生"成为近年热词并不是一种偶然,它不是一个软件,也不是一种框架,而是一堆理念集合,以及围绕这些理念所产生的一些最佳实践的工具.云原生天然就是作用于服务架构的,可以视作一个服务 ...
随机推荐
- 009、Java中超过了int的最大值或最小值的结果
01.代码如下: package TIANPAN; /** * 此处为文档注释 * * @author 田攀 微信382477247 */ public class TestDemo { public ...
- Javascript获取当前鼠标在元素内的坐标定位
代码如下: <!doctype html> <html> <head> <meta charset="utf-8"> <tit ...
- Unity VFX踩坑
先挖个坑,要实现如下效果,这几个Demo都来自Unity日本分布技美总监Keijiro Takahashi,效果过于酷炫,请收下膝盖.. PS:先缓缓,VFX暂时还不支持安卓 Keijiro Taka ...
- editplus的注册码 4.0
用户名:jb51.net 序列号:9A72F-84A30-82Z46-BFW79-4FTA8 用户名:freeuser 序列号:F15AD-12490-DAZF5-E4W30-E7T80 注册名:Fr ...
- 自己手动实现简单的双向数据绑定 mvvm
数据绑定 数据绑定一般就是指的 将数据 展示到 视图上.目前前端的框架都是使用的mvvm模式实现双绑的.大体上有以下几种方式: 发布订阅 ng的脏检查 数据劫持 vue的话采用的是数据劫持和发布订阅相 ...
- 让vscode使用Pipenv工作环境
1.查看Pipenv的位置 # 先激活Pipenv环境 pipenv shell # 获取当前虚拟环境的位置 pipenv --venv 2.打开setting.json配置文件 Ctrl+Shift ...
- 101-PHP二维数组的元素输出三,封装成函数
<?php $arr=array(array(76,87,68), array(65,89,95), array(90,80,66), array(90,95,65),5,234,56,'Hel ...
- 4. 异步多级缓存架构+nginx数据本地化渲染
- Swift 访问权限
internal 内部的 1.默认情况下所有的类&属性&方法的访问权限都是internal 2.在本模块(项目/包/target)中可以访问 private 私有的 1.只有在本类中访 ...
- SOA--基于银行系统实例分析
阅读以下关于 Web 系统设计的叙述 [说明] 某银行拟将以分行为主体的银行信息系统,全面整合为由总行统一管理维护的银行信息系统,实现统一的用户账户管理.转账汇款.自助缴费.理财投资.贷款管理.网上支 ...