德迅云Waf系统在为网站做加速的同时,防护DDoS,CC,Web应用攻击,恶意刷流量,恶意爬虫等危害网站的行为,在边缘节点中注入了德迅卫士多年积累的安全能力,形成一张分布式的安全加速网络。德迅云Waf系统一站式全方位的安全防护体系适用于所有同时要兼顾内容加速和安全的Web系统和APP。
一、实施背景
随着互联网、云计算等快速发展,网络资源的获取更加便捷简单,也让网络黑产产业化,网络攻击等现象日益猖獗,DDoS攻击和Web应用攻击变得常态化,混合型攻击已成为主流,企业Web系统面临DDoS、Web应用攻击等多重威胁和困扰,单一的防护已经变得脆弱不堪,加上企业用户网络安全意识淡薄,如何有效的应对愈演愈烈的黑产攻击,成为各大企业必须应对的共同难题,因此一站式全方位的安全防护变得非常有必要,它能让Web系统免受各种混合型攻击的困扰,保障Web业务系统安全稳定运行。
二、实施目标
结合目前的市场发展趋势和统计到的Web攻击事件,Web攻击防护不再单纯依赖防御;检测和响应成为必须;单点的检测及单纯的报警已经无法满足当前的局势,需要结合多方面的资源配合及服务运营,为此我们的目标就是为用户提供全面的Web安全防护,让互联网变得更安全。为解决这一难题,德迅云安全提出一站式网络安全德迅云Waf系统解决方案,一站式接入为用户提供网站加速和安全防护功能,以低成本、高效率为企业用户抵抗全方位的攻击,解决企业长期面临的各种攻击威胁和困扰。
三、建设内容
德迅云Waf系统由三大部分组成,即云Waf系统业务平台、智能解析系统和安全节点伺服程序组成。
云Waf系统平台:实现用户管理、计费系统、产品管理及服务开通。
DNS智能调度系统:实现域名智能解析和系统负载调度功能,为客户分配最优的节点和动态节点调度。
httpserv:负责接收Waf系统平台下达指令,对节点配置文件进行设置,如某个域名的防御策略。
德迅云Waf系统结构图
德迅云Waf功能框架图
四、主要功能
1、防御DDoS
1000+分布式抗httpserv节点,单节点具备100G+以上的防御,集群防御高达4Tbps,采用德迅Anti-DDoS流量攻击清洗引擎,从多维度对异常流量进行实时检测分析,对流量特征进行智能学习建模,提供近百种智能防护算法与检测策略配置,实现对SYN Flood、UDP Flood、ICMP Flood、ACK Flood,TCP/UDP大包反射型,僵尸网络等流量型攻击的全面精准检测和拦截,避免DDoS流量对网站的致命攻击,保障业务系统稳定运行。
2、防御CC攻击
运用德迅云安全专家团队自主研发的德迅智能AI抗CC引擎加固定规则引擎,深耕多年的抗C经验,基于对海量业务数据的深度学习,能够精准检测每次访问请求,及时发现潜在风险并自动匹配CC防御策略,实现CC攻击防御无上限、自动化、智能化;5S发现恶意请求,10s快速阻断攻击;还配备自定义防CC策略人机验证、频率限制、防代理、防CSRF,可根据开启时间,加白时长,加黑设置和对指定URL进行人机验证,访问频率限制,保护用户业务免受大规模CC攻击困扰。
3、WEB应用防护
基于德迅云安全海量Web攻击样本库,对访问进行特征匹配,有效抵御SQL注入、XSS攻击、本地文件包含等各类Web攻击,实时保护用户源站。特有的AI引擎,融合全球威胁情报,打造更聪明的威胁识别大脑,精准有效SQL注入、XSS跨站脚本、Webshell上传、反序列化漏洞、XXE等Web威胁;用户每个httpserv节点享受独立IP,风险相互隔离,业务更加安全。
4、简单快捷,功能丰富
采用cname-DNS解析接入方式,只需简单的三步骤就能快速接入,提供自助化和批量域名管理,并且支持多种可定制配置项,支持泛域名接入,支持http/http2/https/websocket/wss等多种协议,支持自定义0-65535非标准端口,提供各种模版配置,批量配置各种域名,满足客户各种非标准化定制需求和快速批量配置。
5、网站加速
适用于门户网站、电商平台、移动APP、UGC社区应用等业务场景。为加速域名下的动静态内容(如各类型图片、html、css、js小文件等)提供海量优质节点的就近分发处理,显著提升用户访问体验;融合动态加速与静态缓存技术,动静态内容自动分离,加快动态内容的速度并确保安全性。客户(如Tinder和Slack)的API调用,以及Websocket连接的安全性,并加快其速度。与客户端模板的TLS连接将在附近的边缘站点终止,通过可用的连接重用功能,使用经过优化的网络路径安全地访问源站。
6、全链路加密
全链路数据传输均支持HTTPS加密技术,防劫持、防篡改、防泄密,仅需对加速域名开启HTTPS安全加速,并上传证书/私钥,即可实现客户端访问HTTPS加密(无需源站支持HTTPS)加速域名开启“HTTPS安全加速”的前提下,支持自定义设置,将用户的原请求方式进行强制HTTPS跳转和HSTS;没有证书的用户还可通过自动获取方式申请免费SSL证书,享受企业级可靠HTTPS加速服务。
7、负载均衡
DLB负载均衡技术是德迅云安全自主研发的负载自动化调度算法技术构成,它能对多台源机实时状态信息进行智能分析,构建了一套强大的负载机制,DLB将请求路由至已启用可用区中的正常源服务器。当某台源端服务器健康检查出现异常时,DLB会自动将新的请求分发到其它健康检查正常的源服务器。当该服务器恢复正常运行时,DLB会将其自动恢复到负载均衡服务中。服务器必须通过一次健康检查才会被视为正常。在完成每次健康检查后,DLB将关闭为健康检查而建立的连接。也可为不同源站设置取源权重,实现不同流量分配比重,提升网站可用性和灵活性。
8、高性能灵活缓存策略
各httpserv节点具备高速读写固态硬盘SSD存储,配合SSD加速能力,大幅减少用户访问等待时间,提高可用性;均衡使用CPU多核处理能力,高效合理使用和控制内存,最大化SSD IOPS和吞吐;自定义指定资源内容的缓存过期时间规则,支持指定路径/test/...或者文件名后缀如*.html方式,不同规则间通过优先级确定匹配顺序(数字越大优先级越高),满足不同场景的缓存需求。
9、安全访问控制
为某个指定URL的请求做访问控制,比如管理后台,客户后台和一些不开放的后台,加上密码验证,只有通过密码验证的才能正常安全访问,其余的一律拒绝通过。
10、内容安全风控
提供图片、视频、关键字、文本、直播流等多媒体内容的审核服务,为您精准识别过滤色情、暴恐、赌博,政治,敏感人物等各类违规内容,可依据您的具体业务场景灵活配置,帮助您提前防范内容违规风险,提高审核效率,提升用户体验。
11、防盗链
通过对HTTP请求中的referer字段设置过滤策略,对访问者身份进行识别和过滤,实现限制访问来源的目的,提供多重访盗链功能,Refer防盗链、IP防盗链、URL鉴权校验,完美解决盗链危害,保护资源版权。
12、精准访问控制
除基础IP、referer、UA黑白名单外,支持自定义复杂访问控制规则,可指定客户端IP、URI、Referer、User-Agent、Params等字段进行等于、包含、不包含等规则匹配,根据业务场景进行多条件组合识别和过滤,提升用户Web站点的安全性。
13、区域访问控制
可以根据自身的业务范围一键开启区域访问控制,例如屏蔽海外或其他省份,避免被海外网络的攻击渗透,进一步增强网络的安全性。
14、丰富的监控报表
提供丰富的报表查看能力,支持DDoS、CC攻击实时监控告警,WEB应用威胁日志,CC黑名单,支持全网访问流量,带宽,请求次数,类型,命中率,报文内容,来源多方位图表分析,并提供访问情况统计,使用量统计,套餐剩余量预警、账户余额预警等功能,为客户精细化掌控业务使用情况。
五、实施效果
德迅云Waf系统已应用已全国31个省市,服务行业包括人工智能、互联网、数字娱乐、电子商务、教育、医疗、物流、智能制造等。由于高效的安全性能和极具性价比的方案,受到广大企业特别是中小型企业的青睐,因很多中小型企业受到的网络威胁最多,且无法负担高昂的防护费用。自项目上线以来,日均拦截恶意Web应用恶意请求多达200万次,日均清洗DDoS攻击流量500G之多,DDoS、WAF、监控智能防护高效联动,领先的应用规则库及漏洞管理,入侵检测、日志审计、网络安全防护等安全能力协同联动,制定业务安全基线,有效应对新型漏洞攻击和常见TOP10的应用层攻击。创新智能的安全防护思路,实现安全威胁的快速响应。