信息化觀察網(wǎng)

德迅云Waf系統(tǒng)在為網(wǎng)站做加速的同時，防護(hù)DDoS，CC，Web應(yīng)用攻擊，惡意刷流量，惡意爬蟲等危害網(wǎng)站的行為，在邊緣節(jié)點(diǎn)中注入了德迅衛(wèi)士多年積累的安全能力，形成一張分布式的安全加速網(wǎng)絡(luò)。德迅云Waf系統(tǒng)一站式全方位的安全防護(hù)體系適用于所有同時要兼顧內(nèi)容加速和安全的Web系統(tǒng)和APP。

一、實(shí)施背景

隨著互聯(lián)網(wǎng)、云計算等快速發(fā)展，網(wǎng)絡(luò)資源的獲取更加便捷簡單，也讓網(wǎng)絡(luò)黑產(chǎn)產(chǎn)業(yè)化，網(wǎng)絡(luò)攻擊等現(xiàn)象日益猖獗，DDoS攻擊和Web應(yīng)用攻擊變得常態(tài)化，混合型攻擊已成為主流，企業(yè)Web系統(tǒng)面臨DDoS、Web應(yīng)用攻擊等多重威脅和困擾，單一的防護(hù)已經(jīng)變得脆弱不堪，加上企業(yè)用戶網(wǎng)絡(luò)安全意識淡薄，如何有效的應(yīng)對愈演愈烈的黑產(chǎn)攻擊，成為各大企業(yè)必須應(yīng)對的共同難題，因此一站式全方位的安全防護(hù)變得非常有必要，它能讓W(xué)eb系統(tǒng)免受各種混合型攻擊的困擾，保障Web業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。

二、實(shí)施目標(biāo)

結(jié)合目前的市場發(fā)展趨勢和統(tǒng)計到的Web攻擊事件，Web攻擊防護(hù)不再單純依賴防御；檢測和響應(yīng)成為必須；單點(diǎn)的檢測及單純的報警已經(jīng)無法滿足當(dāng)前的局勢，需要結(jié)合多方面的資源配合及服務(wù)運(yùn)營，為此我們的目標(biāo)就是為用戶提供全面的Web安全防護(hù)，讓互聯(lián)網(wǎng)變得更安全。為解決這一難題，德迅云安全提出一站式網(wǎng)絡(luò)安全德迅云Waf系統(tǒng)解決方案，一站式接入為用戶提供網(wǎng)站加速和安全防護(hù)功能，以低成本、高效率為企業(yè)用戶抵抗全方位的攻擊，解決企業(yè)長期面臨的各種攻擊威脅和困擾。

三、建設(shè)內(nèi)容

德迅云Waf系統(tǒng)由三大部分組成，即云Waf系統(tǒng)業(yè)務(wù)平臺、智能解析系統(tǒng)和安全節(jié)點(diǎn)伺服程序組成。

云Waf系統(tǒng)平臺：實(shí)現(xiàn)用戶管理、計費(fèi)系統(tǒng)、產(chǎn)品管理及服務(wù)開通。

DNS智能調(diào)度系統(tǒng)：實(shí)現(xiàn)域名智能解析和系統(tǒng)負(fù)載調(diào)度功能，為客戶分配最優(yōu)的節(jié)點(diǎn)和動態(tài)節(jié)點(diǎn)調(diào)度。

httpserv：負(fù)責(zé)接收Waf系統(tǒng)平臺下達(dá)指令，對節(jié)點(diǎn)配置文件進(jìn)行設(shè)置，如某個域名的防御策略。

德迅云Waf系統(tǒng)結(jié)構(gòu)圖

德迅云Waf功能框架圖

四、主要功能

1、防御DDoS

1000+分布式抗httpserv節(jié)點(diǎn)，單節(jié)點(diǎn)具備100G+以上的防御，集群防御高達(dá)4Tbps，采用德迅Anti-DDoS流量攻擊清洗引擎，從多維度對異常流量進(jìn)行實(shí)時檢測分析，對流量特征進(jìn)行智能學(xué)習(xí)建模，提供近百種智能防護(hù)算法與檢測策略配置，實(shí)現(xiàn)對SYN Flood、UDP Flood、ICMP Flood、ACK Flood，TCP/UDP大包反射型，僵尸網(wǎng)絡(luò)等流量型攻擊的全面精準(zhǔn)檢測和攔截，避免DDoS流量對網(wǎng)站的致命攻擊，保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。

2、防御CC攻擊

運(yùn)用德迅云安全專家團(tuán)隊自主研發(fā)的德迅智能AI抗CC引擎加固定規(guī)則引擎，深耕多年的抗C經(jīng)驗，基于對海量業(yè)務(wù)數(shù)據(jù)的深度學(xué)習(xí)，能夠精準(zhǔn)檢測每次訪問請求，及時發(fā)現(xiàn)潛在風(fēng)險并自動匹配CC防御策略，實(shí)現(xiàn)CC攻擊防御無上限、自動化、智能化；5S發(fā)現(xiàn)惡意請求，10s快速阻斷攻擊；還配備自定義防CC策略人機(jī)驗證、頻率限制、防代理、防CSRF，可根據(jù)開啟時間，加白時長，加黑設(shè)置和對指定URL進(jìn)行人機(jī)驗證，訪問頻率限制，保護(hù)用戶業(yè)務(wù)免受大規(guī)模CC攻擊困擾。

3、WEB應(yīng)用防護(hù)

基于德迅云安全海量Web攻擊樣本庫，對訪問進(jìn)行特征匹配，有效抵御SQL注入、XSS攻擊、本地文件包含等各類Web攻擊，實(shí)時保護(hù)用戶源站。特有的AI引擎，融合全球威脅情報，打造更聰明的威脅識別大腦，精準(zhǔn)有效SQL注入、XSS跨站腳本、Webshell上傳、反序列化漏洞、XXE等Web威脅；用戶每個httpserv節(jié)點(diǎn)享受獨(dú)立IP，風(fēng)險相互隔離，業(yè)務(wù)更加安全。

4、簡單快捷，功能豐富

采用cname-DNS解析接入方式，只需簡單的三步驟就能快速接入，提供自助化和批量域名管理，并且支持多種可定制配置項，支持泛域名接入，支持http/http2/https/websocket/wss等多種協(xié)議，支持自定義0-65535非標(biāo)準(zhǔn)端口，提供各種模版配置，批量配置各種域名，滿足客戶各種非標(biāo)準(zhǔn)化定制需求和快速批量配置。

5、網(wǎng)站加速

適用于門戶網(wǎng)站、電商平臺、移動APP、UGC社區(qū)應(yīng)用等業(yè)務(wù)場景。為加速域名下的動靜態(tài)內(nèi)容（如各類型圖片、html、css、js小文件等）提供海量優(yōu)質(zhì)節(jié)點(diǎn)的就近分發(fā)處理，顯著提升用戶訪問體驗；融合動態(tài)加速與靜態(tài)緩存技術(shù)，動靜態(tài)內(nèi)容自動分離，加快動態(tài)內(nèi)容的速度并確保安全性。客戶（如Tinder和Slack）的API調(diào)用，以及Websocket連接的安全性，并加快其速度。與客戶端模板的TLS連接將在附近的邊緣站點(diǎn)終止，通過可用的連接重用功能，使用經(jīng)過優(yōu)化的網(wǎng)絡(luò)路徑安全地訪問源站。

6、全鏈路加密

全鏈路數(shù)據(jù)傳輸均支持HTTPS加密技術(shù)，防劫持、防篡改、防泄密，僅需對加速域名開啟HTTPS安全加速，并上傳證書/私鑰，即可實(shí)現(xiàn)客戶端訪問HTTPS加密（無需源站支持HTTPS）加速域名開啟“HTTPS安全加速”的前提下，支持自定義設(shè)置，將用戶的原請求方式進(jìn)行強(qiáng)制HTTPS跳轉(zhuǎn)和HSTS；沒有證書的用戶還可通過自動獲取方式申請免費(fèi)SSL證書，享受企業(yè)級可靠HTTPS加速服務(wù)。

7、負(fù)載均衡

DLB負(fù)載均衡技術(shù)是德迅云安全自主研發(fā)的負(fù)載自動化調(diào)度算法技術(shù)構(gòu)成，它能對多臺源機(jī)實(shí)時狀態(tài)信息進(jìn)行智能分析，構(gòu)建了一套強(qiáng)大的負(fù)載機(jī)制，DLB將請求路由至已啟用可用區(qū)中的正常源服務(wù)器。當(dāng)某臺源端服務(wù)器健康檢查出現(xiàn)異常時，DLB會自動將新的請求分發(fā)到其它健康檢查正常的源服務(wù)器。當(dāng)該服務(wù)器恢復(fù)正常運(yùn)行時，DLB會將其自動恢復(fù)到負(fù)載均衡服務(wù)中。服務(wù)器必須通過一次健康檢查才會被視為正常。在完成每次健康檢查后，DLB將關(guān)閉為健康檢查而建立的連接。也可為不同源站設(shè)置取源權(quán)重，實(shí)現(xiàn)不同流量分配比重，提升網(wǎng)站可用性和靈活性。

8、高性能靈活緩存策略

各httpserv節(jié)點(diǎn)具備高速讀寫固態(tài)硬盤SSD存儲，配合SSD加速能力，大幅減少用戶訪問等待時間，提高可用性；均衡使用CPU多核處理能力，高效合理使用和控制內(nèi)存，最大化SSD IOPS和吞吐；自定義指定資源內(nèi)容的緩存過期時間規(guī)則，支持指定路徑/test/...或者文件名后綴如*.html方式，不同規(guī)則間通過優(yōu)先級確定匹配順序（數(shù)字越大優(yōu)先級越高），滿足不同場景的緩存需求。

9、安全訪問控制

為某個指定URL的請求做訪問控制，比如管理后臺，客戶后臺和一些不開放的后臺，加上密碼驗證，只有通過密碼驗證的才能正常安全訪問，其余的一律拒絕通過。

10、內(nèi)容安全風(fēng)控

提供圖片、視頻、關(guān)鍵字、文本、直播流等多媒體內(nèi)容的審核服務(wù)，為您精準(zhǔn)識別過濾色情、暴恐、賭博，政治，敏感人物等各類違規(guī)內(nèi)容，可依據(jù)您的具體業(yè)務(wù)場景靈活配置，幫助您提前防范內(nèi)容違規(guī)風(fēng)險，提高審核效率，提升用戶體驗。

11、防盜鏈

通過對HTTP請求中的referer字段設(shè)置過濾策略，對訪問者身份進(jìn)行識別和過濾，實(shí)現(xiàn)限制訪問來源的目的，提供多重訪盜鏈功能，Refer防盜鏈、IP防盜鏈、URL鑒權(quán)校驗，完美解決盜鏈危害，保護(hù)資源版權(quán)。

12、精準(zhǔn)訪問控制

除基礎(chǔ)IP、referer、UA黑白名單外，支持自定義復(fù)雜訪問控制規(guī)則，可指定客戶端IP、URI、Referer、User-Agent、Params等字段進(jìn)行等于、包含、不包含等規(guī)則匹配，根據(jù)業(yè)務(wù)場景進(jìn)行多條件組合識別和過濾，提升用戶Web站點(diǎn)的安全性。

13、區(qū)域訪問控制

可以根據(jù)自身的業(yè)務(wù)范圍一鍵開啟區(qū)域訪問控制，例如屏蔽海外或其他省份，避免被海外網(wǎng)絡(luò)的攻擊滲透，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

14、豐富的監(jiān)控報表

提供豐富的報表查看能力，支持DDoS、CC攻擊實(shí)時監(jiān)控告警，WEB應(yīng)用威脅日志，CC黑名單，支持全網(wǎng)訪問流量，帶寬，請求次數(shù)，類型，命中率，報文內(nèi)容，來源多方位圖表分析，并提供訪問情況統(tǒng)計，使用量統(tǒng)計，套餐剩余量預(yù)警、賬戶余額預(yù)警等功能，為客戶精細(xì)化掌控業(yè)務(wù)使用情況。

五、實(shí)施效果

德迅云Waf系統(tǒng)已應(yīng)用已全國31個省市，服務(wù)行業(yè)包括人工智能、互聯(lián)網(wǎng)、數(shù)字娛樂、電子商務(wù)、教育、醫(yī)療、物流、智能制造等。由于高效的安全性能和極具性價比的方案，受到廣大企業(yè)特別是中小型企業(yè)的青睞，因很多中小型企業(yè)受到的網(wǎng)絡(luò)威脅最多，且無法負(fù)擔(dān)高昂的防護(hù)費(fèi)用。自項目上線以來，日均攔截惡意Web應(yīng)用惡意請求多達(dá)200萬次，日均清洗DDoS攻擊流量500G之多，DDoS、WAF、監(jiān)控智能防護(hù)高效聯(lián)動，領(lǐng)先的應(yīng)用規(guī)則庫及漏洞管理，入侵檢測、日志審計、網(wǎng)絡(luò)安全防護(hù)等安全能力協(xié)同聯(lián)動，制定業(yè)務(wù)安全基線，有效應(yīng)對新型漏洞攻擊和常見TOP10的應(yīng)用層攻擊。創(chuàng)新智能的安全防護(hù)思路，實(shí)現(xiàn)安全威脅的快速響應(yīng)。