在阿里云从零搭建一个防入侵体系

安全已经成为云计算技术体系中重要组成部分，如果上云后不考虑安全防护措施被入侵的可能性几乎是100%。阿里云提倡安全责任共担模型，阿里云负责云平台基础安全防护，用户负责虚拟化层以上的组件安全。本课程就是教会大家如何利用阿里云提供的各种安全产品在虚拟化层之上搭建一套基础的防入侵体系，包括网络安全、主机安全、应用安全和安全监控四个基础安全产品。

准备工作

安全组

安全组：安全组是阿里云提供的分布式虚拟化防火墙，具备状态检测包过滤功能。安全组是一个逻辑上的分组，这个分组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分网络安全域。

场景设计：新建安全组，通过不同策略验证SSH登录情况

实验步骤
1、新建安全组X，组内规则初始为空

2、创建VM A，指定所属安全组X，使用事先准备好的VM镜像

3、缺省状态下，验证从公网ssh连接VM失败

4、添加公网安全组规则允许公网ssh访问

5、验证公网ssh到VM成功

产品细节说明
1、业务限制

2、规则介绍

安骑士（专业版，半年）

安骑士：运行在服务器上的轻量级插件，通过与云端的大数据威胁情报库联动，提供服务器整体的高危风险检查、实时入侵告警、一键漏洞修复等功能；

基本架构

           

                  

实验步骤

1、进入安骑士控制台并完成专业版的购买

点击进入 安骑士控制台，点击左侧导航栏中的“服务器列表”，为了方便演示，我们已经帮用户购买了1台ECS，并且在ECS上都部署了安骑士的agent，此时可以看到当前的安骑士处于“在线状态”。点击右上角“购买付费版”，选择专业版1个授权数，下单并完成付款（当前已经给账号发放了相应的代金券，不需要真实付款）

          

购买前：

购买后：

2、使用基线检查进行 “账户安全”检测

通过列表中的服务器IP前面的复选框，选住需要检测的服务器，并点击批量操作栏的“手动检测”，选择“系统账户安全检测”，并点击确定开始检测

 

       

开始后，看到显示“检测中，预计X分钟结束”，此时我们操作栏的“查看详情”，进入详情页面

        

稍等一会，检测结束，检测结果出来了，发现了4个异常，分别如下

密码强度位数不够、密码过期提醒时间未设置、密码强制过期时间太长、存在一个可疑的黑客账号

3、重复步骤2，分别完成“可疑进程检测”、“高危漏洞检测”、“可疑自启动项”检测

4、设置“周期检测”策略，自动化完成安全监控

进入安骑士控制台 - 设置 - 页面，选择，基线检查周期配置，点击“添加”

可自定义策略名称、时间、项目、对应的服务器，开启周期检测

保存设置，系统将会在指定的时间调度指定的检测项，有异常结果将会进行通知和告警

        

5、实验完毕。

您可以结合自身业务特征，尝试更多的检测项目，同时可以尝试我们其他的功能，木马查杀、登录安全、补丁管理等，欢迎随时与我们交流。

态势感知（企业版，一年）

态势感知：大数据安全分析平台，通过收集企业20种原始日志和网络空间威胁情报，利用机器学习还原已发生的攻击，并预测未发生的攻击；

基本架构

                            

实验步骤

1、进入态势感知控制台并完成企业版的购买

点击进入 态势感知控制台，点击“升级”按钮进行升级，为了方便演示，我们已经帮用户态势感知企业版进行演示。

进入态势感知控制台，进行接下来的安全试验

2、使用“设置”功能，对云上的全部资产（ECS+RDS）进行告警配置，如邮件收件人配置，手机短信告警配置

进入导航，前往“设置”导航菜单，进行具体的告警配置，并可配置《每日安全日报》的邮件收件人

提供了紧急事件，攻击事件，漏洞事件，情报事件共4个大类型的告警，每个大类型又包含各种小类安全事件的告警配置

点击选择不同的告警事件，进行邮件和短信告警

4、进入“攻击”导航内，对攻击事件进行告警处理，以及查看攻击类型

进入态势感知控制台 - 威胁 - 攻击页面

态势感知提供了应用攻击，主机暴力破解攻击等功能，这里我们可以着重看下应用攻击

可查看攻击的类型，攻击方式，攻击应用等功能

5、实验完毕。

WAF（企业版，一个月）

WAF：WAF采用反向代理的接入架构，通过修改防护域名的DNS解析到WAF而将流量牵引到WAF，通过各种防护模块过滤掉恶意流量后，再把正常请求转发回源站。防护架构如下：

配置接入WAF

登录阿里云控制台，找到云盾->Web应用防火墙->域名配置，输入相关的域名及源站信息，并点击“添加域名”按钮：

支持配置泛域名，如*.aliyundemo.cn，可以匹配相关的二级域名。当同时配置泛域名和精确域名时，转发和防护策略匹配顺序以精确域名优先如果有HTTPS站点，务必勾选HTTPS，同时建议勾选HTTP，以应对HTTP跳转等问题，同时需要在稍后上传源站证书和密钥（实验中我们只勾选HTTP）源站IP可以支持最多20个，WAF会做负载均衡和健康检查，详情见“源站IP负载均衡”

如WAF前面还有CDN、高防等七层代理，务必勾选“是否已使用代理”，这样才能取到客户端真实IP，不然看到的都是上一级代理的IP添加好域名后，会弹出选择解析方式的弹窗，为了更好的演示接入原理，这里选择手动修改：

配置好域名后，WAF会自动分配给当前域名一个CNAME，可点击域名信息来查看：

接下来我们登录万网控制台，找到对应域名的“域名解析”->“解析设置”，正常情况下会有已经存在的一些解析，如下图：

接下来需要将记录类型改成CNAME，记录值改成WAF控制台提供的CNAME，如下图：

开启日志检索

在刚配置好的域名->业务状态中，找到日志检索并打开：

配置并体验精准防护规则

精准访问控制规则允许用户基于HTTP头部的各个字段***组合各种访问控制规则：

找到防护域名，点击“防护配置”，进入“精准访问控制规则”即可配置。您可以***尝试各种条件，匹配的内容大小写不敏感，匹配按照从上到下的优先级。详细的配置方式请参考这里：https://help.aliyun.com/document_detail/42780.html

配置好后一般3分钟内即可生效，您可以手动构造一些请求来验证防护效果，如果匹配中拦截，预期访问会被WAF拦截并弹出405拦截页面：

同时，您也可以在日志检索中看一下拦截的具体请求，以及匹配中访问控制规则的情况：