您好,登錄后才能下訂單哦!
與其他CDN服務商相比,億速云CDN的主要優勢包括穩定快速、性價比高、簡單易用、高效智能。比較多的用戶會問到穩定快速這個優點,一般來說,億速云的CDN特點是分擔源站壓力,避免網絡擁塞,確保在不同區域、不同場景下加速網站內容的分發,提高資源訪問速度。以下給大家介紹下關于網絡安全的重要問題。
CDN是將源站內容分發至最接近用戶的節點,提高用戶訪問的響應速度,解決企業源網站的服務器壓力。未來五年CDN行業仍然會高速增長,超過50%的互聯網流量通過CDN進行加速。
但是網絡安全仍然是非常重要的問題, 雖然阿里云Web應用防火墻(WAF)支持各類CDN(如網宿、加速樂、七牛、又拍、阿里云CDN等),但是價格非常昂貴,中小企業很多負擔不起,同時抱有***不會***的僥幸心里。那么有沒有功能和性能都好的免費WAF呢,答案是有的。
hihttps是一款免費的web應用防火墻,既支持傳統WAF的檢測功能如SQL注入、XSS、惡意漏洞掃描、密碼破解、CC、DDOS等),又支持無監督機器學習,自主對抗,重新定義web安全。具體原理可以百度搜索“hihttps談機器學習之生成對抗規則”。今天下面以CentOS 為例,一步一步介紹怎么用hihttps來免費保護CDN環境的企業源站。
一、 安裝
hihttps可以在WEB源站服務器上直接安裝,也可以像硬件WAF那樣獨立部署服務器前面,用反向代理的原理來保護源站。
首先在http://www.hihttps.com/官網下載hihttp.tar.gz安裝包,tar –zxvf hihttps.tar.gz 解壓到任意目錄,核心有3個文件和3個目錄:
1、hihttps是可執行文件,支持centos 64位系統。
2、hihttps.cfg是配置文件,如端口/反向代理的服務器IP等。
3、ml.cfg是機器學習配置文件。
4、rules目錄是對抗規則,包括OWASP的SQL注入、XSS、CC、DDOS、密碼破解、惡意掃描以及機器學習自主對抗規則。
5、train目錄是無監督機器學習樣本采集目錄。
6、log目錄是***報警日志。
hihttps默認配置前端綁定443端口(HTTPS)和81端口(HTTP),反向連接的80端口:
https:// serverip / <==> http://127.0.0.1/
http://serverip:81/ <==> http://127.0.0.1/
注釋:serverip是你的服務器的實際IP地址或者域名,本文下面不再闡述。
如果你是在vmware虛擬機里面做測試,或者服務器上還沒有web服務器,請先安裝nginx或者apache如:
yum install nginx或yum install httpd ,打開瀏覽器 http://serverip/ ,,確認訪問80端口是成功的。
二、 hihttps配置
1、端口配置
為了方便測試,hihttps開啟了81和443兩個web端口,注意443需要綁定PEM格式的證書,默認提供了一個叫server.pem的數字證書,如果有,請換成源站服務器的真實證書。配置如下:
https.cfg:
frontend web
mode http
bind :81
default_backend s_default
frontend web_ssl
mode http
bind :443 ssl crt server.pem #PEM證書建議用絕對路徑如/home/xxx/server.pem
default_backend s_default
errorloc302 400 http://www.hihttps.com/ #***重定向網頁,僅DROP阻斷模式有效
#真實的后端WEB服務器端口
backend s_default
mode http
server server_default 127.0.0.1:80
2、OWASP規則設置
Hihttps兼容ModSecurity大部分規則,最厲害的是著名安全社區OWASP,開發和維護著一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),幾乎覆蓋了如SQL注入、XSS跨站***腳本、惡意掃描、密碼破解、DOS等幾十種常見WEB***方法。
hihttps默認配置了這幾條,基本滿足常見***防護:
REQUEST-913-SCANNER-DETECTION.conf
REQUEST-941-APPLICATION-ATTACK-XSS conf
REQUEST-942-APPLICATION-ATTACK-SQLI conf
REQUEST-20-APPLICATION-CC-DDOS conf
REQUEST-20-APPLICATION-Brute-PASS conf
white_url.data
black_url.data
……
更多的規則,可以去https://github.com/SpiderLabs/ModSecurity官方網站下載,把文件保存在rule目錄下即可。
3、機器學習配置
一般來說,機器學習是自動完成的,不用配置。當然也可以為機器精確設置要學習的網站文件所對應的目錄,這樣學習更快速、準確:
ml.cfg:
#www_dir /usr/share/nginx/html/
#缺省是報警模式ruleAction alert,要設置為阻斷模式,請開啟ruleAction drop
#ruleAction drop
4、 機器學習對抗規則
Rules目錄下的gan.rule是機器學習自動生成的對抗規則文件,為了方便測試,默認了一條接口規則https://serverip/hihttps.html?id=xxx
三、運行測試
運行./hihttps,如果界面打印出了OWASP 規則、Mache Learning(機器學習規則),并且顯示了start ok……就說明正常。
1、OWASP 規則測試
可以用Kali Linux,集成了很多web漏洞掃描工具,非常方便測試,如nkito等。
運行 nikto -h 192.168.0.1 -p 80,81 -C
或者nikto -host www.baidu.com –C port 443 –ssl
hihttps主界面就會打印出,大量的報警日志。
2、機器學習測試
機器學習是hihttps的核心,但采集成千上萬的樣本需要一定時間,為了方便測試,默認了一條hihttps.html機器學習樣本。
https://serverip/hihttps.html?id=123,采集到的樣本大于99%都是這種形態,那么瀏覽器輸入下面的網址,都將視為***:
***測試樣本:
https://serverip/hihttps.html?id=123' or 1='1
https://serverip/hihttps.html?id=<script>alert(1);</script>
https://serverip/hihttps.html?id=1234567890&t=123
https://serverip/hihttps.html?id=abc
如果上圖界面,打印出了***日志,那么恭喜你,系統運行正常,hihttps保護成功。
報警日志產生在log目錄下,按天存儲,格式是這樣的。。
2020-02-09 21:14:49 192.168.1.153:59615 [ALERT] [888] [GET /hihttps.html] STR:"ff" Matched, Machine Learning : Detect an attack,value is not a number...
…..
四、正式部署
作為免費版本,到這里就結束了。實際部署的時候,把hihttps和nginx(apache)的端口換一下,hihttps綁定80和443,nginx(apache)綁定127.0.0.1:81就可以了。
修改hihttps.cfg文件相關配置:
http://serverip/ <==> http://127.0.0.1:81/
https://serverip/ <==> http://127.0.0.1:81/
用機器學習幾天后,如果人工核實報警準確率大于99.9%,在不影響生產的情況下,可以修改ml.cfg文件,開啟ruleAction drop阻斷模式。
hihttps企業版付費本無非就是開源,并且有專門的WEB管理界面而已,核心防護功能都一樣,小企業沒必要再去購買昂貴的WAF。
五、總結
1、傳統的waf規則很難對付未知漏洞和未知***。讓機器像人一樣學習,具有一定智能自動對抗APT***或許是唯一有效途徑,但******技術本身就是人類最頂尖智力的較量,WEB安全仍然任重而道遠。
2、幸好hihttps這類免費的應用防火墻在機器學習、自主對抗中開了很好一個頭,未來WEB安全很可能是特征工程+機器學習共同完成,必然是AI的天下。
如果大家還有什么地方需要了解的可以在億速云官網找我們的CDN技術工程師的,億速云CDN技術工程師在行業內擁有十幾年的經驗了,所以會比小編回答的更加詳細專業。億速云官網鏈接www.mlszssj.com
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。