websaas云安全解决方案

预览

完善的解决方案和风险措施：可以通过添加CDN节点的IP地址白名单，防止直接攻击源站IP的情况出现
客户使用多个厂商CDN的方案（避免做二次DNS牵引？避免用两个WAF？），搞个本地WAF就可以啦
[top]

1. 客户现状（行业资产重要，被黑客重点关照，虽然有WAF、IPS、抗D，但还是有很多问题）

近年来信息安全形势严峻，先有xx事件，后有xx事件，安全事件层出不穷，防不胜防；随着黑客的技术不断迭代对web业务的安全性提有了新的挑战。国家主席习近平发表讲话：没有网络安全就没有国家安全。在国家的号召下各行各业逐渐开始重视web安全，工信部域名备案需要进行风险评估、公安部制定和推行等级保护，都一一指示出网络安全的重要性和当前的形势不容乐观。而web安全更是网络安全中的重灾区，黑客通常都是通过web系统开始进行攻击，进行web防护是展开安全工作的第一步。

2. 存在风险 （黑客扫描、web应用漏洞、中间件漏洞、DDOS和高防、可用性监测、防篡改、无访问统计、过度依赖规则库、无24小时值守服务、移动监控不到位）

当前客户环境虽然已有防火墙、IPS、上网行为管理等相关的安全设备（可解释这些设备跟），但对web安全仍无针对性防护。存在着如下风险：

• 无法发现web安全隐患，对web应用的脆弱点不明确，不知道web应用有哪些漏洞
• 对分布式拒绝服务没有有效的防范措施（IPS是抗DOS通过简单阈值控制，非抗分布式，不是针对网口带宽值进行防护）
• 对篡改攻击没有应对措施，若是遭遇篡改攻击被黑客挂上暗链、木马、博彩、反政府等信息无法及时告警和防御
• 对网站的可用性没有7*24小时的实时监测

3. 传统环境的web安全解决方案（主要说明缺点）

• 传统web扫描器只能被动扫描，需要人员操作，策略更新不及时，无法监测篡改、暗链、webshell，扫描时间长性能差设备容易老化；无法实时监测网站状态，当网站发生可用性问题时无法及时告知管理员
• 传统http抗DDos、ADS流量清洗无法防御高防流量，对直接在运营商线路灌满的攻击无法防御；单机作战没有大数据和云端的支撑；受限于机器本身的性能无法进行深度的机器学习来判断访问是否合规
• 传统WAF部署变更繁琐、管理难、故障率高，防御规则更新慢且不便，误报率高，告警可读性低
• 传统链路负载均衡只适用于同运营商加速的情况，无法控制用户访问节点无法对用户的访问路径进行优化，对于同运营商网络的质量无法针对省份和地区进行优化和内容分发，只能实现简单的加速效果，而且还必须要做到源进源出
• 无DNS劫持和篡改防护，传统网页防篡改更新网页繁琐，且对需要写权限的文件和目录无法防护，一旦这些文件有漏洞则会导致网站被篡改，造成不可磨灭的损失，在应对网站访问上没有一键关停等措施

传统解决方案拓扑图：

4.web saas解决方案（既包含传统方案优点，又有很多优势）

• 部署简单操作成本低（只需要该DNS别名）
• 云WAF（防御web攻击）
• 云监测（监测网站状态：可用、篡改、回连、钓鱼识别）
• CDN加速（DNS映射的成效而已）
• DDos高防
• 安全评估服务
• 威胁情报（黑域名、IP、文件md5）
• 7*24小时热线服务：
  24小时400电话热线（你只需要说出你的需求，剩下的让工程师来）
  APP或小程序随时随地查看网站状态
  日报周报月报年报自动发送，我们为您做了什么都在报告里面呈现出来
  web应用断网或服务异常提示

web saas方案拓扑图（根据传统网络改造）

web saas方案实现原理

5. 推荐配置清单

预览

来长亭的论坛打其他厂商的广告。。。。过分了啊