劉黎輝 秦長征 宋原 周婧

摘要：隨著經(jīng)濟(jì)水平的不斷發(fā)展，貫徹發(fā)展“新基建”，實(shí)現(xiàn)生態(tài)化、數(shù)字化、智能化、高速化，包括5G—互聯(lián)網(wǎng)—云計(jì)算—大數(shù)據(jù)-區(qū)塊鏈—物聯(lián)網(wǎng)等。云計(jì)算應(yīng)用在過去十年中呈爆炸式增長，而且增長趨勢(shì)還遠(yuǎn)遠(yuǎn)沒有結(jié)束。云計(jì)算解決規(guī)模量級(jí)大、成本過高、重復(fù)建設(shè)、缺乏協(xié)同等問題，客戶負(fù)責(zé)其業(yè)務(wù)在云平臺(tái)中的安全性，包括存儲(chǔ)和處理的數(shù)據(jù)完整性，以及WEB應(yīng)用程序和應(yīng)用程序接口（API）的安全性。據(jù)此，公司制定了私有云網(wǎng)站網(wǎng)絡(luò)安全防護(hù)建設(shè)方案，為后續(xù)私有云安全建設(shè)提供思路與方向。

關(guān)鍵詞：集群架構(gòu);彈性擴(kuò)容;防御超大流量; 智能語義防護(hù);簡易高效。

Abstract：With the continuous development of the economic level， the implementation of the development of "new infrastructure"， to achieve ecological， digital， intelligent， high-speed， including 5G - Internet - cloud computing - big data - blockchain - Internet of things， etc.The use of cloud computing has exploded over the past decade， and the trend is far from over.Cloud computing solves the problems of large scale， high cost， duplicated construction， lack of collaboration， and so on. Customers are responsible for the security of their business in the cloud platform， including the data integrity of storage and processing， as well as the security of Web applications and application program interfaces （APIs）.Accordingly， Shandong Unicom has formulated a network security protection construction plan for private cloud websites， providing ideas and directions for subsequent private cloud security construction.

Key words： cluster architecture;Elastic expansion;Prevention of large flow;Intelligent semantic protection;Simple and efficient。

0引言

隨著業(yè)務(wù)規(guī)模的不斷增長，公司開始搭建私有云環(huán)境，承載主要業(yè)務(wù)應(yīng)用。私有云為業(yè)務(wù)系統(tǒng)帶來便利的同時(shí)，也面臨著云平臺(tái)安全性+云平臺(tái)業(yè)務(wù)的安全性的風(fēng)險(xiǎn)挑戰(zhàn)。

WEB防護(hù)系統(tǒng)采用基于反向代理模式部署到私有云主機(jī)中，設(shè)備會(huì)作為代理向后轉(zhuǎn)發(fā)收到的HTTP 請(qǐng)求，在轉(zhuǎn)發(fā)的同時(shí)對(duì)經(jīng)過的 HTTP 請(qǐng)求做攻擊檢測(cè)，若存在WEB攻擊則記錄攻擊日志，對(duì)該請(qǐng)求作出指定行為是否阻斷。提升了公司私有云整體防護(hù)能力，助力業(yè)務(wù)健康發(fā)展。

1實(shí)施方案

基于私有云現(xiàn)有環(huán)境目標(biāo)和需求，制定出高適配、重防護(hù)、可實(shí)現(xiàn)的建

設(shè)方案，通過松耦合方式，軟件反向代理模式部署WEB應(yīng)用防護(hù)系統(tǒng)，速度快、準(zhǔn)確率高，在對(duì)所經(jīng)流量進(jìn)行實(shí)時(shí)檢測(cè)和訪問控制的同時(shí)，不造成過大的性能開銷，讓平臺(tái)網(wǎng)站流暢運(yùn)轉(zhuǎn)。

WEB應(yīng)用防護(hù)系統(tǒng)本身會(huì)作為反向代理向后轉(zhuǎn)發(fā)收到的HTTP 請(qǐng)求，在

轉(zhuǎn)發(fā)的同時(shí)對(duì)經(jīng)過的 HTTP 請(qǐng)求做攻擊檢測(cè)，若存在 Web 攻擊則記錄攻擊日志，系統(tǒng)對(duì)該請(qǐng)求作出指定行為阻斷告警等。

互聯(lián)網(wǎng)用戶訪問網(wǎng)站，通過出口設(shè)備進(jìn)行流量牽引，WEB防護(hù)系統(tǒng)采用基于反向代理模式部署到私有云主機(jī)中，設(shè)備會(huì)作為代理向后轉(zhuǎn)發(fā)收到的HTTP 請(qǐng)求，在轉(zhuǎn)發(fā)的同時(shí)對(duì)經(jīng)過的 HTTP 請(qǐng)求做攻擊檢測(cè)，若存在WEB攻擊則記錄攻擊日志，對(duì)該請(qǐng)求作出指定行為是否阻斷。

此解決方案相當(dāng)于部署了一個(gè)分布式 WAF，同時(shí)將私有云環(huán)境下個(gè)的網(wǎng)站業(yè)務(wù)集群納入檢測(cè)和防護(hù)范疇，可實(shí)現(xiàn)以 WAF集群為主體的訪問頻率限制配置。將私有云中網(wǎng)站的流量統(tǒng)一集中到一個(gè)管理中心進(jìn)行集中防護(hù)，采用統(tǒng)一日志分析、策略下發(fā)和訪問統(tǒng)計(jì)，面對(duì)針對(duì)不同服務(wù)器的入侵掃描、爆破攻擊等行為，可實(shí)現(xiàn)協(xié)同防護(hù)、策略聯(lián)動(dòng)，實(shí)時(shí)掌握全局攻擊態(tài)勢(shì)，不讓單個(gè)業(yè)務(wù)群成為防護(hù)的信息孤島。

集群架構(gòu)提供多檢測(cè)點(diǎn)實(shí)現(xiàn)性能冗余和負(fù)載均衡，確保業(yè)務(wù)運(yùn)行時(shí)資源占用處于合理水平，滿足未來彈性擴(kuò)充檢測(cè)節(jié)點(diǎn)的需求?？焖僖肓髁窟M(jìn)行檢測(cè)，限制檢測(cè)耗時(shí)，保證W A F服務(wù)器宕機(jī)等極端情況下的業(yè)務(wù)連續(xù)性。此種模式可方便增刪檢測(cè)節(jié)點(diǎn)，理論上可支持無上限的并發(fā)處理量。

（1）抵御超大流量

從語言的角度實(shí)現(xiàn)分析檢測(cè)，平均每天檢測(cè)出數(shù)十萬次攻擊請(qǐng)求，成功抵御Web攻擊，把業(yè)務(wù)流量快速接入到防護(hù)中，滿足流量快速增長帶來的WEB應(yīng)用防護(hù)系統(tǒng)快速彈性擴(kuò)展需求。在處理性能方面，單臺(tái)檢測(cè)節(jié)點(diǎn)在處理20萬 QPS高并發(fā)情況下，99%的請(qǐng)求延遲小于1ms，在防護(hù)攻擊的同時(shí)對(duì)用戶使用幾乎零影響。

（2）智能化語義防護(hù)

采用的智能語義分析檢測(cè)引擎能夠從語義上真正理解當(dāng)前payload是否

為攻擊。即對(duì)目標(biāo)字符串按照攻擊類型模型依次進(jìn)行詞法分析、語法分析、語義分析，結(jié)合安全威脅模型打分，還原出經(jīng)過層層偽裝變形的攻擊向量，并從編碼的基因?qū)用孀R(shí)別和判斷其危害程度，提升對(duì)網(wǎng)絡(luò)攻擊行為判斷的準(zhǔn)確率。

（3）簡易高效

安全運(yùn)維人員無需頻繁配置WEB應(yīng)用防護(hù)系統(tǒng)規(guī)則，基于智能語義分析

的檢測(cè)引擎無需添加安全規(guī)則即可攔截攻擊，默認(rèn)的防護(hù)策略配置即能有效應(yīng)對(duì)不斷變化的Web安全威脅，可一鍵啟用攔截模式，在日常運(yùn)維過程中，管理員通過管理站點(diǎn)，輕松實(shí)現(xiàn)精細(xì)化水平管理。

3結(jié)語

私有云網(wǎng)站安全能力建設(shè)方案，憑借智能語義分析算法，形成成熟建設(shè)

的思路，為后期快速推廣復(fù)制提供助力。通過方案確定、測(cè)試、流量牽引、防護(hù)策略優(yōu)化，完美的嵌入到私有云安全環(huán)境中，通過采用統(tǒng)一日志分析、策略下發(fā)和訪問統(tǒng)計(jì)，面對(duì)針對(duì)不同服務(wù)器的入侵掃描、爆破攻擊等行為，可實(shí)現(xiàn)協(xié)同防護(hù)、策略聯(lián)動(dòng)，實(shí)時(shí)掌握全局攻擊態(tài)勢(shì)，保障業(yè)務(wù)安全穩(wěn)定高效運(yùn)行。

參考文獻(xiàn)

【1】企業(yè)私有云建設(shè)指南 孫杰 山金孝 張亮 張婷婷 機(jī)械工業(yè)出版社

【2】私有云架構(gòu)與實(shí)踐 尤永康 梅磊 劉松濤 蔣迪 上海交通出版社

【3】網(wǎng)絡(luò)安全攻防技術(shù)實(shí)踐 閩海釗 電子工業(yè)出版社

【4】中華人民共和國網(wǎng)絡(luò)安全法