阿里雲盒子遙控器「阿里云云盾幹什麼用的」

在我第一天接觸安全時，就被告之，沒有絕對的安全，再經過一段時間深入學習後，又深刻的體會到，安全是以犧牲效率為代價的。想要既高效又安全，就需要有超強的處理性能。現在看來，要讓安全真正起到其應有的作用，關鍵要看應用。

以WAF為例，在當今的企業安全框架下，企業不但想要能看清楚訪問我這個人是誰，還可以知道這個人在幹些什麼，正常訪問的我們開門歡迎，搞破壞、偷東西的拒之門外。

那麼，雲WAF安全技術在雲計算的網絡系統中，是如何實現的呢？下面讓我來具體分析一下，如何通過雲安全，對企業業務進行深度安全管理控制。今天我會用阿里云云盾WAF來做演示。

阿里雲 雲盾 Web應用防火牆（WAF）通過防禦常見OWASP攻擊、提供熱補丁漏洞修復，網站業務的定製規則防護，從而成功保障網站Web應用的安全性與可用性。

全面了解阿里雲的雲安全產品和服務：
http://click.aliyun.com/m/10711/

接下來，我們會從三個大家比較關注、或者比較特別的防護場景和功能切入。首先，我們會分析一下雲盾WAF的CC攻擊防護能力，而後，通過電商等行業常見的業務安全隱患，我們來看看雲盾WAF是如何做到把Web防護和業務風控相結合；最後，再來看一下作為WAF的“心臟”，雲盾WAF的智能語義檢測引擎是如何發揮它的作用的？

CC防護分析

以前的DDoS攻擊，通常採用SYN Flood UDP Flood等形式，攻擊包的格式固定，攻擊流量十分容易判斷，相對也很好進行攔截。現在則有不同，CC攻擊的方式與正常網絡應用訪問很難區分，只有通過一些細節才能準確進行斷定，一但判斷失誤，反而會影響網絡應用業務的正常運營。下面我們就來看一下雲盾WAF在應對CC攻擊的具體表現。

業務風控能力

還有一種威脅行為，也是很討厭，那就是我也不進門，我就是往你們家裡扔垃圾，生成一堆沒用的用戶信息在網站上進行註冊，用戶猛的一看很高興，有這麼多用戶都過來了，實際一瞧，一個有用的都沒有。而且有用沒用的混雜在一起，你是清也不是，不清也不是，白白浪費資源。

另外，在類似雙十一這樣的銷售時間點，商家往往會發放一些優惠券、或組織很多優惠活動。而現在，這些優惠也已經成為黑客的關注目標。通過組織大規模的“薅羊毛”來非法獲利。此外還有搶紅包、惡意搶注等等一系列的惡意行為，往往會給商家帶來了重大的經濟損失。

下面我們就來看一下 雲盾WAF中的數據風控防護功能，是如何對這種行為進行阻止的。

智能語義功能驗證

有些同學會問，我把上面的安全措施都做好後，我的網絡就安全了嗎？也不一定，只不過搞起來要相對複雜些罷了。

還是打個比方，溜門撬鎖這樣的事情太明顯，很容易就被發現，但是黑客裝扮成正常用戶，進你門後給你上點迷魂藥，照樣可以把你迷昏了，然後取而代之。這些迷魂藥就是利用系統漏洞進行腳本注入。當然現在還有更高級的，通過命令行手工進行注入，那更是無色無味一般人根本查覺不了。

對於這個威脅，就需要對深度內容進行分析，還需要有更加智能的邏輯判斷能力，才可以進行防禦。這也正是雲盾WAF智能語義功能的特長所在。

下面我們就來看一下，雲盾WAF的智能語議功能，是如何對手工的命令行注入等payload行為，進行防護的。

HTTPS內容分析

行為分析、行為分析，我可以看到你的行為，才能對你進行分析。當前有很多加密傳輸協議也是如此。不加密吧，明文傳輸誰都可以看的見，不安全。加密吧，好的壞的又無法分辨，也是不行。

怎麼辦？對加密內容同樣進行分析！讓我們最後來看一下雲盾WAF是如何對加密內容進行分析的。

雲計算的安全，給用戶提供的不會再是單純的防護，而是在不斷的對網絡應用行為進行深度分析後，對應用進行歸納、處理。對於正常的應用保持其正常運營，對惡意行為進行攔截、判斷乃至於去溯源。只有抓住了網絡威脅幕後的黑手，未來的網絡才會有真正的安全可言。雲盾的WAF還只是阿里雲抓“黑手”的一個組成部分，以後我們把更多阿里雲 雲盾的安全防護手段介紹給大家，使得更多阿里雲用戶，可以通過聘請阿里雲 雲盾這個安全保鏢，可以更好、更安全的實現雲計算網絡業務應用。