网络安全原理

TCP/IP协议介绍

TCP/IP协议是当前最流行的互联网协议，没有TCP/IP协议，就没有互联网

网络通信五元组

网络通信五元组：源IP，源端口，协议，目标端口，目标IP

端口的打开需要遵循信息安全最小化的原则

 

常见的网络安全问题

各种网络攻击

• DDoS：拒绝服务式攻击，业务被冲断
• CC慢速攻击
• SQL注入攻击
• 网络钓鱼攻击
• XSS攻击
• 暴力密码破解攻击

DDoS攻击

DDoS攻击是什么

• DDoS(Distributed Denial of Service) 即分布式拒绝服务式攻击。
• 攻击主要目的是：让指定目标无法提供正常服务，是最强大，最难预防的攻击之一
• 近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。小的流量就可以对目标服务器进行攻击

DDoS攻击原理

TCP的三次握手始终不能成功

谁面临DDoS攻击

DDoS带来的危害

 DDoS常见防护措施

• 通过SLB，隐藏服务器IP
• 多节点加速：SCDN加速
• 异常流量清洗
• 分布式集群防御
• 防火墙合理配置
• 专有抗D设备

 

基础DDoS防护

基础DDoS防护就是DDoS原生防护

DDoS原生防护的主要功能

• 攻击流量的发现，牵引和自动处理
• 能够有效抵御所有各类基于网络层、应用层的各种DDoS攻击，包括最新的DNS Query Flood， NTP reply Flood
• 大数据分析技术实现全自动检测，攻击策略全自动匹配：攻击策略全自动匹配，总体响应时间<2秒，清洗服务可用性99.99%

基础DDoS防护的防护流程

基础DDoS防护的开通方法

自动开通，可保护阿里云机房内所有产品

DDoS原生防护配置

DDoS原生防护有两种配置方式

• 自动
• 手动：流量和报文

安全信誉防护联盟

提供DDoS防护上限，分配额外的弹性防护能力

DDoS防护包与抗D流量包

DDoS防护包

DDoS防护包是一款针对云上ECS、SLB、Web应用防火墙、EIP等云产品直接提升防御能力的安全产品

1. 即刻购买，即刻生效。最短1分钟内可完成DDoS防护包的部署。可以直接把防御能力加载到云产品上，不需要更换IP，没有四层端口，七层域名数的限制，免去用户部署和切换IP的烦恼
2. 具备弹性防护能力，遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力全力防护
3. 采用阿里云BGP带宽，只需要一个IP，即可实现多个不同运营商的极速访问
4. 海量清洗带宽，满足活动大促，活动上线，重要业务的安全稳定性保障需求
5. 支持独享IP，同时也提供共享多个IP的防护包，满足多个IP地址都需要提升防御带宽的需求

DDoS防护包适用场景

DDoS防护包功能--解除黑洞

DDoS防护包为已防护的IP提供黑洞解除功能，即用户可以自行对某个处于黑洞状态的防护对象IP进行黑洞接触操作，快速恢复用户的业务服务。黑洞解除次数每个月重置。

1. 独享型防护包：每个IP两次解除机会
2. 共享型防护包：最多可防护100个IP，所以获赠100次解除机会

步骤：管理控制台 -> 防护包 -> 操作栏（解除黑洞） -> 选择处于黑洞状态的防护对象IP -> 解除黑洞

DDoS防护包功能--升级实例

购买DDoS防护包实例后，如果当前防护包提供的安全防护能力无法满足业务需求，可以通过以下两个方式提升用户的安全防护能力

方法1：升级DDoS防护包实例规格

• 保底防护带宽
• 弹性防护带宽
• 共享IP个数

方法2：切换到DDoS高防IP

DDoS防护包计费方式

DDoS防护包费用=保底防护带宽费用+弹性防护流量费用

保底防护带宽费用：根据购买的DDoS防护包规格计费，预付费

弹性防护流量费用：不同类型的防护包的计费方式有所不同，购买购买抗D流量包，抵扣DDoS防护包所产生的弹性防护流量费用

• 专业版：根据实际使用中超出保底防护带宽所产生的弹性防护流量进行计费。（19年5月停止售卖，可工单申请）
• 企业版：根据实例全部如方向流量计算弹性防护流量费用，弹性防护能力为全力防护，该地域的无上限全力防护

DDoS防护包--防护举例

抗D流量包

抗D流量包是一款预付费流量消耗产品，用于抵扣DDoS防护包使用过程中超出保底防护带宽所产生的弹性防护流量，让用户的DDoS防护包活动弹性防护能力。当用户账号下没有DDoS防护包产品时，抗D流量包就无法使用。

DDoS防护包与抗D流量包关系

企业版抗D流量包--流量计算 

抗D流量包--注意事项

DDoS高防IP

 为什么要接入DDoS高防

• 更强的服务能力
• 突破设备性能
• 突破机房带宽瓶颈

 高防IP的架构

DDoS高防IP的原理

云盾的DDoS高防是在阿里云机房外面进行防护！ 

DDoS高防IP的功能

高防IP接入流程

高防IP可隐藏源站IP

高防IP系统组成 

高防IP内置WAF模块，可保护七层应用

高防IP特点

1. 防护海量DDoS攻击
2. 源站IP隐藏
3. 专业团队运营
4. 弹性防护
5. 高可靠，高可用的服务

DDoS高防IP开通方法

DDoS高防IP：阿里云/非阿里云

DDoS高防IP可以保护

1. 阿里云机房内所有产品
2. 非阿里计费的站点

DDoS分类

根据要接入DDoS高防的云服务器所处地域不同，DDoS高防分为两种

• DDoS高防（新BGP）: ECS指中国内地
• DDoS高防（国际）

DDoS高防抗D包

DDoS高防抗D包是面向DDoS高防（新BGP）用户提供的一项增值服务，帮助减少DDoS攻击峰值大于保底带宽时产生的弹性防护成本。

新BGP高防概念及优势

新BGP高防IP服务采用中国大陆地域独有的T级八线BGP带宽资源，可解决超大流量DDoS攻击。相比静态ICD高防IP服务，新BGP高防IP天然具有灾备能力、线路更稳定、访问速度更快。有如下优势：

1. 拥有中国大陆地域最大的BGP带宽资源（最高可防护带宽可达1.5T），再也不用担心超大流量攻击
2. 运用中国大陆地域最优质的BGP带宽资源，BGP线路覆盖电信，联通，移动，教育网等八大运营商线路（平均访问时延仅20ms）左右
3. 只需要一个IP，即可实现中国大陆地域内不同运营商线路的快速访问和DDoS高防需求 

新BGP高防适用场景

新BGP高防新增功能

新BGP高防计费方式

新BGP产生费用=基础防护（按月-预付费）+ 弹性付费（按天-后付费）

DDoS高防（国际）

DDoS高防（国际）

针对用户业务服务器部署在中国大陆以外地域的场景，阿里云提供了云盾DDoS高防（国际）付费增值服务，帮助缓解DDoS攻击风险

通过为用户部署在海外地区的服务器配置DDoS高防（国际）服务，将服务器遭受的攻击流量牵引至DDoS高防（国际）的独享IP，通过全球级分布式近源清洗的方式清洗攻击流量，并将过滤后的正常流量返回至源站服务器，从而保障业务稳定运行

DDoS高防（国际）产品特性

DDoS高防（国际）服务具有以下4个特性

• 全球近源清洗
• 无上限全力防护
• 独享IP资源
• 安全防护报表

DDoS高防（国际）应用场景

场景一：业务服务器部署在非中国大陆地区，且主要服务于非中国大陆地区的用户。推荐方案：

• 购买DDoS高防（国际）服务，根据DDoS高防（国际）快速入门将业务接入高防进行防护

场景二：业务服务器部署在非中国大陆地区，主要服务于中国大陆地区的用户。推荐方案：

• 方案1：将业务服务器迁移至主要用户所在的中国大陆地区，然后购买DDoS高防IP服务或者BGP高防IP服务。
• 方案2：如果业务服务器暂时无法迁移至中国大陆地区，开通DDoS高防（国际）加速线路。开通后，阿里云技术人员将协助用户完成DDoS高防智能切换方案配置，实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求

场景三：业务服务器部署在非中国大陆地区，同时服务于中国大陆地区和非中国大陆地区的用户。推荐方案

• 方案1：建议分区域部署业务服务器，通过购买DDoS高防IP服务或者BGP高防IP服务和DDoS高防（国际）服务分别保护中国大陆地区和非中国大陆地区的业务，缓解DDoS攻击
• 方案2：如果业务服务器暂时无法迁移至中国大陆地区，开通DDoS高防（国际）加速线路。开通后，阿里云技术人员将协助用户完成DDoS高防智能切换方案配置，实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求

DDoS高防（国际）套餐版本

DDoS高防（国际）服务提供保险版和无忧版两种套餐

全局高级防护次数：

• 可以额外购买，
• 不需要绑定实例，可供账号中所有符合天骄的保险版实例适用

DDoS高防（国际）--加速线路 

云防火墙

防火墙规则

典型的规则由：source(ip range 或安全组)，protocol，port，policy(accept/deny)，network type(内网或公网)组成。如一条防火墙规则可以为：容许10.0.0.0/8的网段，通过内网来访问本安全组中实例的TCP 80端口的权限

云防火墙

云防火墙Cloud Firewall 是阿里云云盾团队结合云的部署便捷，弹性扩展等技术优势，为云上客户量身定制的融合访问控制、业务隔离、流量识别等功能的网络安全产品。云防火墙主要由两个控制模块组成

• 东西向流量控制模块：主要是利用安全组对主机之间的交互流量进行控制，实现4层访问控制
• 南北向流量控制模块：主要是用于实现互联网到主机间的访问控制，支持4-7层访问控制

云防火墙-互联网边界防火墙

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称，为用户提供互联网、虚拟网络、主机三种边界防护

互联网边界防火墙是指用于检测互联网和云上资产间通信流量的防火墙，是一种集中式管理的防火墙。互联网边界防火墙生效在互联网和用户主机之间，对所有的公网IP进行统一管控

云防火墙-VPC边界防火墙

VPC边界防火墙是指用于检测两个VPC之间通信流量的防火墙，是一种分布式防火墙。VPC边界防火墙生效在两个用户VPC之间，作用于VPC边界，对高速通道的流量进行管控

云防火墙-安全组/主机边界防火墙

安全组是ECS提供的分布式虚拟主机防火墙，具备状态检测和数据包过滤功能，用于设置ECS实例间的网络访问控制。

云防火墙的主机防火墙底层使用了安全组的能力，用户既可以在云防火墙->主机防火墙处 配置策略也可以在安全组控制台配置策略，两者配置自动保存同步

三种防火墙配置使用，可以让用户精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网路边界-主机边界三层纵深防御体系。

云防火墙-功能特性

云防火墙-产品优势

云防火墙--适用场景

云防火墙在阿里云网路中地位置

同WAF、高防IP、CDN等产品共用时，云防火墙防护的是源站IP

云防火墙VS安全组

安全组

安全组介绍

安全组指定了一个或多个防火墙规则，规则包含容许访问的网络协议，端口，源IP等。这些规则对于加入了该安全组的所有实例均生效。每个实例至少要加入一个安全组。

安全组是一种虚拟防火墙，具备状态检测包过滤功能。安全组用于设置单台或者多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。

• 对公网的网络访问控制
• 内网多台ECS之间的网络访问控制

安全组授权方式

每个安全组，可以以两种方式授权其他人访问自己

• 指定源IP地址段（CIDR Block）,如100.100.0.0/16，支持指定公网和内网IP段
• 指定源安全组的ID，如容许sg-001安全组中的实例访问本安全组中的实例，这种方式只能用于内网之间授权

安全组功能

• 不同用户网络隔离：每个用户拥有自己的安全组，不同用户名下的安全组之间是完全隔离的。因为，不同用户名下的实例，内网是完全隔离的
• 系统默认安全组

安全组的限制

• 每个用户的安全组最多100个
• 每个实例最多加入5个安全组
• 单个安全组内的实例个数不能超过1000
• 每个安全组最多200条规则
• 安全组的网络类型分为：经典网络和专有网络VPC
• 对安全组的调整操作，对用户的服务连续性没有影响。安全组是有状态的，如果数据包Outbound方向是被允许的，那么对象的此连接在Inbound方向也是允许的。

配置安全组规则

安全专有网络VPC

VPC原理

VPC就好比是用户在云上的一个私有隔离的网络容器，有了这个容器后，用户就可以把自己所有的云资源都放到这个网络容器中，网络容器中的云资源默认其它用户是无法访问的。

VPC与经典网络

• 经典网络：IP地址由阿里云统一分配，配置简便，使用方便。适合对操作易用性要求比较高，需要快速使用ECS的用户。同一租户默认完全互访，不同租户一般默认隔离。
• 专有网络：是指逻辑隔离的私有网络，您可以自定义网络拓扑和IP地址，支持通过专线连接。适合于收悉网络管理的用户

VPC功能

• 自主可控的网络
• 私网互联
• 公网出入

VPC功能-自主可控的网络

VPC功能-公网出入

VPC可以通过EIP，负载均衡，NAT网关等实现公网出入

 VPC功能-公网出入EIP和NAT网关对比

从2013年至今，云计算一直处于高速发展时期，不论是产业规模还是上云率都在成倍增长。截止去年我国企业的上云率已达到了30.8%。随着国家的支持，未来定会有更多的企业选择上云。

但是自从上个月国家互联网应急中心（CNCERT）对外发布了《2018年中国互联网网络安全报告》后，行业内开始将担忧的目光频频投到云平台上。

原因是报告里称，云平台已成为网络攻击的重灾区。

报告一出，很多网友都在帮云平台喊冤。他们认为，如今云计算正在快速发展，上云率年年上升，被攻击几率随着上云占比增加，是很正常的情况。云平台可不为攻击背锅。

但在详细阅读报告后，我们发现云计算高速发展的背后，一些严重的问题开始显露。

云平台安全现状，承受了互联网上超一半的恶意攻击

前面我提到，截止去年我国企业的上云率已达到了30.8%。但是这30.8%却承受了互联网上超一半的恶意攻击。

根据报告中对境内20家主流云服务商检测的数据显示，在18年底，云平台遭受DDoS攻击次数占境内目标被攻击次数的69.2% ；被植入后门的数量占境内被植入后门数量的 51.6%;被篡改网页占境内被篡改网页的58.3%。在这几类常见的攻击中，面向云平台的都已过半。

18年的情况是这样，那么到了今年呢？

CNCERT用一句话总结了目前的情况：2019 年上半年，发生在我国云平台上的网络安全事件或威胁情况相比2018年进一步加剧。

具体数据如下：

• 云平台上遭受 DDoS 攻击次数占境内 目标被攻击次数的 69.6%；
• 被植入后门链接数量占境内全部 被植入后门链接数量的 63.1%；
• 被篡改网页数量占境内被篡 改网页数量的 62.5%；

是什么原因让恶意攻击更钟爱云平台？

一方面是因为云上承载业务和数据越来越多、越来越重要，使得针对云的攻击日益增多;另一方面相比传统企业，云用户对网络安全防护重视不够。

CNCERT还举了一个真实的例子：

自2019年以来，在持续开展的MongoDB、Elasticsearch等数据库数据泄露风险应急处臵过程中，发现存在隐患的数据库搭建在云服务商平台上的数量占比超过 40%。
《2019上半年我国互联网网络安全态势》–CNCERT

云平台不仅被大肆攻击，还成为“帮凶”

云平台面临的风险不仅仅是被攻击，安全措施没做到位，还有可能成为攻击者的“帮凶”。

下面继续为大家罗列一组数据。

• 利用云平台发起对我国境内目标的 DDoS 攻击次数占监测发现的 DDoS 攻击总次数的 78.8%；

• 发起对境内目标 DDoS 攻击的 IP 地址中来自我国境内云平台的 IP 地址占 72.4%；

• 承载的恶意程序种类数量占境内互联网上承 载的恶意程序种类数量的 71.2%；

• 木马和僵尸网络恶意程序控制端 IP 地址数量占境内全部恶意程序控制端IP地址数量 的 84.6%。

从现有的数据来看，攻击者开始钟爱利用云主机作为跳板机或控制端来进行网络攻击。

原因总结下来也有两点：

一、云服务使用具有便捷性、可靠性、低成本、高带宽、高性能等特点；

二、因 为云网络流量复杂，便于攻击者隐藏真实身份。

云计算的优势不仅被广大企业所认可，连攻击者也“连连称赞”。那些安全措施不到位的云平台，也从“受害者”升级为“帮凶”。

重视安全建设，才能让云平台重拾信心

攻击形势如此严峻，云平台必须要开始重视安全建设。

CNCERT在报告里指出，云服务商和云用户应该分工协作来提升云平台网络安全的防范能力。

云服务商负责提供基础性的网络安全防护措施，并保障云平台安全运行。提高云平台的安全性和可控性，加强网络安全事件监测和处置能力。

云用户则需要对部署在云平台上的系统负责，要让系统的网络安全防护达到要求。定期对系统进行安全检查、重要业务的DDoS攻击防护和威胁感知系统都成了必不可少的安全工作。

从现在起，云服务商和云用户如果都能开始重视云平台的安全情况，相信在不久的将来，云平台被大肆攻击的情况一定会有所改善。

作为在国内较早提出网站云监测和云防御理念的高新企业，知道创宇始终致力于为客户提供基于云技术支撑的安全解决方案，知道创宇云防御平台依靠安全总体策略、云计算行业安全认证与合规、安全架构与安全服务、安全审计与管理等措施，形成了完整的安全保障生态体系。

如果你是需要安全建设的云用户，近期知道创宇“云安全年度钜惠”活动千万不要错过。DDoS防御、WAF、安全服务等产品低至5折起。助力企业安全发展～

文章参考：
《2018年中国互联网网络安全报告》——CNCERT
《2019上半年我国互联网网络安全态势》——CNCERT

欢迎关注我和专栏，我将定期搬运技术文章～

也欢迎访问我们：知道创宇云安全 https://www.yunaq.com/activity/818_web/?from=CSDN91819

如果你想与我成为朋友，欢迎加微信kcsc818~

1.典型IT系统架构介绍

IT基础架构演讲的趋势

传统IT 与云计算的区别

云计算的三种服务方式

SAAS、PAAS、IAAS

企业云上常见架构

2.信息安全现状和形势

重点安全事件回顾

阿里云的安全监测报告

阿里云安全态势分析

3.IT系统风控构成

什么是风险？

probability(可能性)+outcome(结果)

IT系统风险构成

按照等保的划分维度

物理和环境安全：包括机房供电、温湿度控制、防风防雨防雷措施等

网络和通信安全：包括网络架构、边界防护、访问控制、入侵防范、通信加密等

设备和计算安全：包括入侵防范、恶意代码防范、身份鉴别、访问控制、集中管控和安全审计等

应用和数据安全：包括安全审计、数据完整性和保密性

云上的安全服务方式

云上安全防护的关键点

注意事项

应用与数据分离

应用集群部署

动静资源分离

云计算面临的主要安全威胁

可用性、完整性、保密性

产生安全风险的主要原因

4.阿里云安全解决方案

阿里云的服务器安全防护

阿里云的网络安全防护

阿里云的数据安全防护

阿里云的应用安全防护

阿里云的监控管理

5.安全法概要

背景

对企业的影响

对个人的影响

趋势