Web应用防火墙(原生版)
Web应用防火墙(原生版)(CT-WAF,Web Application Firewall,简称WAF)基于三大引擎(安全模型检测引擎+智能语义检测引擎+机器学习检测引擎),结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术,支持多种常见编码自动还原能力,提供深度攻击防逃逸功能,构建完整的动态防御闭环,有效检测 SQL 注入、XSS 等基于形式语言的攻击类型,有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护,对Web业务流量进行智能全方位检测,有效识别恶意请求特征并防御,避免源站服务器被恶意入侵,保护网站核心业务安全和数据安全。更多信息请参考Web应用防火墙
配置方式:
如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产,并需要进行公网流量出入的互联网边界防护需求,您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙,并配置相关的互联网边界访问控制规则。具体操作,请参见防火墙开关-互联网边界防火墙、访问控制-配置互联网边界防护规则
如果您拥有对等连接、云间高速、云专线等网络资产,并需要针对内网互访进行VPC边界防护,您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙,并配置相关的VPC边界访问控制规则。具体操作,请参见防火墙开关-VPC边界防火墙、访问控制-配置VPC边界防护规则
DDoS基础防护
DDoS基础防护功能介绍
DDoS基础防护产品依托天翼云资源池网络,在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值,在阈值内尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时,会对IP所在服务器和网络的稳定性造成影响,根据用户协议,IP会进入封禁状态。
DDoS基础防护封禁阈值计算方式
DDoS基础防护依托天翼云资源池网络,为公网IP免费提供一定DDoS防护阈值,该阈值与公网IP带宽规格、公网IP绑定资产类型和公网IP所在资源池相关。
IP带宽越大,分配的网络资源就会越多,能对抗的DDoS攻击峰值越高,DDoS防护阈值越大。
IP绑定的资产类型属于负载型的资产时,如ELB、WAF等,相较于IP绑定到ECS云主机资产或未绑定资产,负载型资产本身分配的网络资源较多,能对抗的DDoS攻击峰值更高,DDoS防护阈值更大。
资源池内所有EIP遭受的DDoS攻击最终都会对资源池网络造成影响,为防止资源池网络整体产生波动,资源池会设定一个DDoS防护阈值作为资源池防护的底线。该阈值被同一时间所有受攻击的IP均分,例如当多个IP同时被攻击时,受攻击的多个IP会均分该阈值。
公网IP的DDoS防护阈值为IP带宽DDoS防护阈值,IP资产类型DDoS防护阈值,IP资源池DDoS防护阈值中取最小值,因任意类型的阈值超限均会对IP所在资源池、服务器或网络产生稳定性影响,具体计算公式如下。计算结果为理论底线数值,当IP所在服务器和资源池网络畅通时,DDoS基础防护会尽可能为IP提供更高的DDoS防护阈值。
公网IP的DDoS防护阈值 = MIN(IP带宽DDoS防护阈值,IP资产类型DDoS防护阈值,资源池DDoS防护阈值/同一时间遭受DDoS攻击的IP数量)。
其中IP带宽防护阈值具体计算方式如下表。
| IP带宽范围 | IP带宽DDoS防护阈值 |
|---|---|
| IP带宽≤200Mbps | 2Gbps |
| 200Mbps<IP带宽≤500Mbps | 5Gbps |
| 500Mbps<IP带宽 | 8Gbps |
其中IP资产类型防护阈值具体计算方式如下表。
| IP绑定资产类型 | IP资产类型DDoS防护阈值 |
|---|---|
| ELB、NAT、VPN | 8Gbps |
| vcpu(核数)≥4规格VM | 5Gbps |
| vcpu(核数)=2规格VM | 2Gbps |
| vcpu(核数)=1规格VM | 1Gbps |
其中IP资源池防护阈值具体计算方式如下表。
| 资源池 | IP资源池DDoS防护阈值 |
|---|---|
| 默认 | 15Gbps/同一时间遭受DDoS攻击的IP数量 |
DDoS基础防护封禁通知
当您的IP遭受的DDoS攻击峰值超过IP的防护阈值时,会对IP所在服务器和网络的稳定性造成影响,根据用户协议,IP会进入封禁状态,封禁时间持续24小时。
该封禁状态有通知,会通过IP所属账户的站内信、短信、邮箱渠道进行通知,告知封禁信息。除了账户所有人,您还可以在天翼云控制台-消息中心-消息订阅-消息管理-安全消息处配置多个消息接收人,比如将您业务的多位值班或运维人员配置到联系人中,此时安全消息短信会通知告知多个人。
通知内容仅有攻击峰值,不包含攻击源信息。DDoS基础防护主要防护IP所在网络的整体稳定,非单个IP的攻击分析产品,仅能提供目的IP级别遭受DDoS大流量攻击的攻击峰值信息,无法提供源IP级别的信息。若客户需要源IP级别的分析,可选择任意渠道和厂商的DDoS高防产品防护自身业务IP并免于触发DDoS封禁,不局限于天翼云的DDoS高防产品。天翼云和其他云厂商均提供有DDoS高防产品,一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力。
