劉黎輝 秦長征 宋原 周婧

摘要：隨著經(jīng)濟水平的不斷發(fā)展，貫徹發(fā)展“新基建”，實現(xiàn)生態(tài)化、數(shù)字化、智能化、高速化，包括5G—互聯(lián)網(wǎng)—云計算—大數(shù)據(jù)-區(qū)塊鏈—物聯(lián)網(wǎng)等。云計算應用在過去十年中呈爆炸式增長，而且增長趨勢還遠遠沒有結束。云計算解決規(guī)模量級大、成本過高、重復建設、缺乏協(xié)同等問題，客戶負責其業(yè)務在云平臺中的安全性，包括存儲和處理的數(shù)據(jù)完整性，以及WEB應用程序和應用程序接口（API）的安全性。據(jù)此，公司制定了私有云網(wǎng)站網(wǎng)絡安全防護建設方案，為后續(xù)私有云安全建設提供思路與方向。

關鍵詞：集群架構;彈性擴容;防御超大流量; 智能語義防護;簡易高效。

Abstract：With the continuous development of the economic level， the implementation of the development of "new infrastructure"， to achieve ecological， digital， intelligent， high-speed， including 5G - Internet - cloud computing - big data - blockchain - Internet of things， etc.The use of cloud computing has exploded over the past decade， and the trend is far from over.Cloud computing solves the problems of large scale， high cost， duplicated construction， lack of collaboration， and so on. Customers are responsible for the security of their business in the cloud platform， including the data integrity of storage and processing， as well as the security of Web applications and application program interfaces （APIs）.Accordingly， Shandong Unicom has formulated a network security protection construction plan for private cloud websites， providing ideas and directions for subsequent private cloud security construction.

Key words： cluster architecture;Elastic expansion;Prevention of large flow;Intelligent semantic protection;Simple and efficient。

0引言

隨著業(yè)務規(guī)模的不斷增長，公司開始搭建私有云環(huán)境，承載主要業(yè)務應用。私有云為業(yè)務系統(tǒng)帶來便利的同時，也面臨著云平臺安全性+云平臺業(yè)務的安全性的風險挑戰(zhàn)。

WEB防護系統(tǒng)采用基于反向代理模式部署到私有云主機中，設備會作為代理向后轉發(fā)收到的HTTP 請求，在轉發(fā)的同時對經(jīng)過的 HTTP 請求做攻擊檢測，若存在WEB攻擊則記錄攻擊日志，對該請求作出指定行為是否阻斷。提升了公司私有云整體防護能力，助力業(yè)務健康發(fā)展。

1實施方案

基于私有云現(xiàn)有環(huán)境目標和需求，制定出高適配、重防護、可實現(xiàn)的建

設方案，通過松耦合方式，軟件反向代理模式部署WEB應用防護系統(tǒng)，速度快、準確率高，在對所經(jīng)流量進行實時檢測和訪問控制的同時，不造成過大的性能開銷，讓平臺網(wǎng)站流暢運轉。

WEB應用防護系統(tǒng)本身會作為反向代理向后轉發(fā)收到的HTTP 請求，在

轉發(fā)的同時對經(jīng)過的 HTTP 請求做攻擊檢測，若存在 Web 攻擊則記錄攻擊日志，系統(tǒng)對該請求作出指定行為阻斷告警等。

互聯(lián)網(wǎng)用戶訪問網(wǎng)站，通過出口設備進行流量牽引，WEB防護系統(tǒng)采用基于反向代理模式部署到私有云主機中，設備會作為代理向后轉發(fā)收到的HTTP 請求，在轉發(fā)的同時對經(jīng)過的 HTTP 請求做攻擊檢測，若存在WEB攻擊則記錄攻擊日志，對該請求作出指定行為是否阻斷。

此解決方案相當于部署了一個分布式 WAF，同時將私有云環(huán)境下個的網(wǎng)站業(yè)務集群納入檢測和防護范疇，可實現(xiàn)以 WAF集群為主體的訪問頻率限制配置。將私有云中網(wǎng)站的流量統(tǒng)一集中到一個管理中心進行集中防護，采用統(tǒng)一日志分析、策略下發(fā)和訪問統(tǒng)計，面對針對不同服務器的入侵掃描、爆破攻擊等行為，可實現(xiàn)協(xié)同防護、策略聯(lián)動，實時掌握全局攻擊態(tài)勢，不讓單個業(yè)務群成為防護的信息孤島。

集群架構提供多檢測點實現(xiàn)性能冗余和負載均衡，確保業(yè)務運行時資源占用處于合理水平，滿足未來彈性擴充檢測節(jié)點的需求?？焖僖肓髁窟M行檢測，限制檢測耗時，保證W A F服務器宕機等極端情況下的業(yè)務連續(xù)性。此種模式可方便增刪檢測節(jié)點，理論上可支持無上限的并發(fā)處理量。

（1）抵御超大流量

從語言的角度實現(xiàn)分析檢測，平均每天檢測出數(shù)十萬次攻擊請求，成功抵御Web攻擊，把業(yè)務流量快速接入到防護中，滿足流量快速增長帶來的WEB應用防護系統(tǒng)快速彈性擴展需求。在處理性能方面，單臺檢測節(jié)點在處理20萬 QPS高并發(fā)情況下，99%的請求延遲小于1ms，在防護攻擊的同時對用戶使用幾乎零影響。

（2）智能化語義防護

采用的智能語義分析檢測引擎能夠從語義上真正理解當前payload是否

為攻擊。即對目標字符串按照攻擊類型模型依次進行詞法分析、語法分析、語義分析，結合安全威脅模型打分，還原出經(jīng)過層層偽裝變形的攻擊向量，并從編碼的基因層面識別和判斷其危害程度，提升對網(wǎng)絡攻擊行為判斷的準確率。

（3）簡易高效

安全運維人員無需頻繁配置WEB應用防護系統(tǒng)規(guī)則，基于智能語義分析

的檢測引擎無需添加安全規(guī)則即可攔截攻擊，默認的防護策略配置即能有效應對不斷變化的Web安全威脅，可一鍵啟用攔截模式，在日常運維過程中，管理員通過管理站點，輕松實現(xiàn)精細化水平管理。

3結語

私有云網(wǎng)站安全能力建設方案，憑借智能語義分析算法，形成成熟建設

的思路，為后期快速推廣復制提供助力。通過方案確定、測試、流量牽引、防護策略優(yōu)化，完美的嵌入到私有云安全環(huán)境中，通過采用統(tǒng)一日志分析、策略下發(fā)和訪問統(tǒng)計，面對針對不同服務器的入侵掃描、爆破攻擊等行為，可實現(xiàn)協(xié)同防護、策略聯(lián)動，實時掌握全局攻擊態(tài)勢，保障業(yè)務安全穩(wěn)定高效運行。

參考文獻

【1】企業(yè)私有云建設指南 孫杰 山金孝 張亮 張婷婷 機械工業(yè)出版社

【2】私有云架構與實踐 尤永康 梅磊 劉松濤 蔣迪 上海交通出版社

【3】網(wǎng)絡安全攻防技術實踐 閩海釗 電子工業(yè)出版社

【4】中華人民共和國網(wǎng)絡安全法