网络安全原理

TCP/IP协议介绍

TCP/IP协议是当前最流行的互联网协议，没有TCP/IP协议，就没有互联网

网络通信五元组

网络通信五元组：源IP，源端口，协议，目标端口，目标IP

端口的打开需要遵循信息安全最小化的原则

 

常见的网络安全问题

各种网络攻击

• DDoS：拒绝服务式攻击，业务被冲断
• CC慢速攻击
• SQL注入攻击
• 网络钓鱼攻击
• XSS攻击
• 暴力密码破解攻击

DDoS攻击

DDoS攻击是什么

• DDoS(Distributed Denial of Service) 即分布式拒绝服务式攻击。
• 攻击主要目的是：让指定目标无法提供正常服务，是最强大，最难预防的攻击之一
• 近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。小的流量就可以对目标服务器进行攻击

DDoS攻击原理

TCP的三次握手始终不能成功

谁面临DDoS攻击

DDoS带来的危害

 DDoS常见防护措施

• 通过SLB，隐藏服务器IP
• 多节点加速：SCDN加速
• 异常流量清洗
• 分布式集群防御
• 防火墙合理配置
• 专有抗D设备

 

基础DDoS防护

基础DDoS防护就是DDoS原生防护

DDoS原生防护的主要功能

• 攻击流量的发现，牵引和自动处理
• 能够有效抵御所有各类基于网络层、应用层的各种DDoS攻击，包括最新的DNS Query Flood， NTP reply Flood
• 大数据分析技术实现全自动检测，攻击策略全自动匹配：攻击策略全自动匹配，总体响应时间<2秒，清洗服务可用性99.99%

基础DDoS防护的防护流程

基础DDoS防护的开通方法

自动开通，可保护阿里云机房内所有产品

DDoS原生防护配置

DDoS原生防护有两种配置方式

• 自动
• 手动：流量和报文

安全信誉防护联盟

提供DDoS防护上限，分配额外的弹性防护能力

DDoS防护包与抗D流量包

DDoS防护包

DDoS防护包是一款针对云上ECS、SLB、Web应用防火墙、EIP等云产品直接提升防御能力的安全产品

1. 即刻购买，即刻生效。最短1分钟内可完成DDoS防护包的部署。可以直接把防御能力加载到云产品上，不需要更换IP，没有四层端口，七层域名数的限制，免去用户部署和切换IP的烦恼
2. 具备弹性防护能力，遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力全力防护
3. 采用阿里云BGP带宽，只需要一个IP，即可实现多个不同运营商的极速访问
4. 海量清洗带宽，满足活动大促，活动上线，重要业务的安全稳定性保障需求
5. 支持独享IP，同时也提供共享多个IP的防护包，满足多个IP地址都需要提升防御带宽的需求

DDoS防护包适用场景

DDoS防护包功能–解除黑洞

DDoS防护包为已防护的IP提供黑洞解除功能，即用户可以自行对某个处于黑洞状态的防护对象IP进行黑洞接触操作，快速恢复用户的业务服务。黑洞解除次数每个月重置。

1. 独享型防护包：每个IP两次解除机会
2. 共享型防护包：最多可防护100个IP，所以获赠100次解除机会

步骤：管理控制台 -> 防护包 -> 操作栏（解除黑洞） -> 选择处于黑洞状态的防护对象IP -> 解除黑洞

DDoS防护包功能–升级实例

购买DDoS防护包实例后，如果当前防护包提供的安全防护能力无法满足业务需求，可以通过以下两个方式提升用户的安全防护能力

方法1：升级DDoS防护包实例规格

• 保底防护带宽
• 弹性防护带宽
• 共享IP个数

方法2：切换到DDoS高防IP

DDoS防护包计费方式

DDoS防护包费用=保底防护带宽费用+弹性防护流量费用

保底防护带宽费用：根据购买的DDoS防护包规格计费，预付费

弹性防护流量费用：不同类型的防护包的计费方式有所不同，购买购买抗D流量包，抵扣DDoS防护包所产生的弹性防护流量费用

• 专业版：根据实际使用中超出保底防护带宽所产生的弹性防护流量进行计费。（19年5月停止售卖，可工单申请）
• 企业版：根据实例全部如方向流量计算弹性防护流量费用，弹性防护能力为全力防护，该地域的无上限全力防护

DDoS防护包–防护举例

抗D流量包

抗D流量包是一款预付费流量消耗产品，用于抵扣DDoS防护包使用过程中超出保底防护带宽所产生的弹性防护流量，让用户的DDoS防护包活动弹性防护能力。当用户账号下没有DDoS防护包产品时，抗D流量包就无法使用。

DDoS防护包与抗D流量包关系

企业版抗D流量包–流量计算 

抗D流量包–注意事项

DDoS高防IP

 为什么要接入DDoS高防

• 更强的服务能力
• 突破设备性能
• 突破机房带宽瓶颈

 高防IP的架构

DDoS高防IP的原理

云盾的DDoS高防是在阿里云机房外面进行防护！ 

DDoS高防IP的功能

高防IP接入流程

高防IP可隐藏源站IP

高防IP系统组成 

高防IP内置WAF模块，可保护七层应用

高防IP特点

1. 防护海量DDoS攻击
2. 源站IP隐藏
3. 专业团队运营
4. 弹性防护
5. 高可靠，高可用的服务

DDoS高防IP开通方法

DDoS高防IP：阿里云/非阿里云

DDoS高防IP可以保护

1. 阿里云机房内所有产品
2. 非阿里计费的站点

DDoS分类

根据要接入DDoS高防的云服务器所处地域不同，DDoS高防分为两种

• DDoS高防（新BGP）: ECS指中国内地
• DDoS高防（国际）

DDoS高防抗D包

DDoS高防抗D包是面向DDoS高防（新BGP）用户提供的一项增值服务，帮助减少DDoS攻击峰值大于保底带宽时产生的弹性防护成本。

新BGP高防概念及优势

新BGP高防IP服务采用中国大陆地域独有的T级八线BGP带宽资源，可解决超大流量DDoS攻击。相比静态ICD高防IP服务，新BGP高防IP天然具有灾备能力、线路更稳定、访问速度更快。有如下优势：

1. 拥有中国大陆地域最大的BGP带宽资源（最高可防护带宽可达1.5T），再也不用担心超大流量攻击
2. 运用中国大陆地域最优质的BGP带宽资源，BGP线路覆盖电信，联通，移动，教育网等八大运营商线路（平均访问时延仅20ms）左右
3. 只需要一个IP，即可实现中国大陆地域内不同运营商线路的快速访问和DDoS高防需求 

新BGP高防适用场景

新BGP高防新增功能

新BGP高防计费方式

新BGP产生费用=基础防护（按月-预付费）+ 弹性付费（按天-后付费）

DDoS高防（国际）

DDoS高防（国际）

针对用户业务服务器部署在中国大陆以外地域的场景，阿里云提供了云盾DDoS高防（国际）付费增值服务，帮助缓解DDoS攻击风险

通过为用户部署在海外地区的服务器配置DDoS高防（国际）服务，将服务器遭受的攻击流量牵引至DDoS高防（国际）的独享IP，通过全球级分布式近源清洗的方式清洗攻击流量，并将过滤后的正常流量返回至源站服务器，从而保障业务稳定运行

DDoS高防（国际）产品特性

DDoS高防（国际）服务具有以下4个特性

• 全球近源清洗
• 无上限全力防护
• 独享IP资源
• 安全防护报表

DDoS高防（国际）应用场景

场景一：业务服务器部署在非中国大陆地区，且主要服务于非中国大陆地区的用户。推荐方案：

• 购买DDoS高防（国际）服务，根据DDoS高防（国际）快速入门将业务接入高防进行防护

场景二：业务服务器部署在非中国大陆地区，主要服务于中国大陆地区的用户。推荐方案：

• 方案1：将业务服务器迁移至主要用户所在的中国大陆地区，然后购买DDoS高防IP服务或者BGP高防IP服务。
• 方案2：如果业务服务器暂时无法迁移至中国大陆地区，开通DDoS高防（国际）加速线路。开通后，阿里云技术人员将协助用户完成DDoS高防智能切换方案配置，实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求

场景三：业务服务器部署在非中国大陆地区，同时服务于中国大陆地区和非中国大陆地区的用户。推荐方案

• 方案1：建议分区域部署业务服务器，通过购买DDoS高防IP服务或者BGP高防IP服务和DDoS高防（国际）服务分别保护中国大陆地区和非中国大陆地区的业务，缓解DDoS攻击
• 方案2：如果业务服务器暂时无法迁移至中国大陆地区，开通DDoS高防（国际）加速线路。开通后，阿里云技术人员将协助用户完成DDoS高防智能切换方案配置，实现在无DDoS攻击时通过加速线路保障中国大陆地区用户访问顺畅的需求

DDoS高防（国际）套餐版本

DDoS高防（国际）服务提供保险版和无忧版两种套餐

全局高级防护次数：

• 可以额外购买，
• 不需要绑定实例，可供账号中所有符合天骄的保险版实例适用

DDoS高防（国际）–加速线路 

云防火墙

防火墙规则

典型的规则由：source(ip range 或安全组)，protocol，port，policy(accept/deny)，network type(内网或公网)组成。如一条防火墙规则可以为：容许10.0.0.0/8的网段，通过内网来访问本安全组中实例的TCP 80端口的权限

云防火墙

云防火墙Cloud Firewall 是阿里云云盾团队结合云的部署便捷，弹性扩展等技术优势，为云上客户量身定制的融合访问控制、业务隔离、流量识别等功能的网络安全产品。云防火墙主要由两个控制模块组成

• 东西向流量控制模块：主要是利用安全组对主机之间的交互流量进行控制，实现4层访问控制
• 南北向流量控制模块：主要是用于实现互联网到主机间的访问控制，支持4-7层访问控制

云防火墙-互联网边界防火墙

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称，为用户提供互联网、虚拟网络、主机三种边界防护

互联网边界防火墙是指用于检测互联网和云上资产间通信流量的防火墙，是一种集中式管理的防火墙。互联网边界防火墙生效在互联网和用户主机之间，对所有的公网IP进行统一管控

云防火墙-VPC边界防火墙

VPC边界防火墙是指用于检测两个VPC之间通信流量的防火墙，是一种分布式防火墙。VPC边界防火墙生效在两个用户VPC之间，作用于VPC边界，对高速通道的流量进行管控

云防火墙-安全组/主机边界防火墙

安全组是ECS提供的分布式虚拟主机防火墙，具备状态检测和数据包过滤功能，用于设置ECS实例间的网络访问控制。

云防火墙的主机防火墙底层使用了安全组的能力，用户既可以在云防火墙->主机防火墙处 配置策略也可以在安全组控制台配置策略，两者配置自动保存同步

三种防火墙配置使用，可以让用户精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网路边界-主机边界三层纵深防御体系。

云防火墙-功能特性

云防火墙-产品优势

云防火墙–适用场景

云防火墙在阿里云网路中地位置

同WAF、高防IP、CDN等产品共用时，云防火墙防护的是源站IP

云防火墙VS安全组

安全组

安全组介绍

安全组指定了一个或多个防火墙规则，规则包含容许访问的网络协议，端口，源IP等。这些规则对于加入了该安全组的所有实例均生效。每个实例至少要加入一个安全组。

安全组是一种虚拟防火墙，具备状态检测包过滤功能。安全组用于设置单台或者多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。

• 对公网的网络访问控制
• 内网多台ECS之间的网络访问控制

安全组授权方式

每个安全组，可以以两种方式授权其他人访问自己

• 指定源IP地址段（CIDR Block）,如100.100.0.0/16，支持指定公网和内网IP段
• 指定源安全组的ID，如容许sg-001安全组中的实例访问本安全组中的实例，这种方式只能用于内网之间授权

安全组功能

• 不同用户网络隔离：每个用户拥有自己的安全组，不同用户名下的安全组之间是完全隔离的。因为，不同用户名下的实例，内网是完全隔离的
• 系统默认安全组

安全组的限制

• 每个用户的安全组最多100个
• 每个实例最多加入5个安全组
• 单个安全组内的实例个数不能超过1000
• 每个安全组最多200条规则
• 安全组的网络类型分为：经典网络和专有网络VPC
• 对安全组的调整操作，对用户的服务连续性没有影响。安全组是有状态的，如果数据包Outbound方向是被允许的，那么对象的此连接在Inbound方向也是允许的。

配置安全组规则

安全专有网络VPC

VPC原理

VPC就好比是用户在云上的一个私有隔离的网络容器，有了这个容器后，用户就可以把自己所有的云资源都放到这个网络容器中，网络容器中的云资源默认其它用户是无法访问的。

VPC与经典网络

• 经典网络：IP地址由阿里云统一分配，配置简便，使用方便。适合对操作易用性要求比较高，需要快速使用ECS的用户。同一租户默认完全互访，不同租户一般默认隔离。
• 专有网络：是指逻辑隔离的私有网络，您可以自定义网络拓扑和IP地址，支持通过专线连接。适合于收悉网络管理的用户

VPC功能

• 自主可控的网络
• 私网互联
• 公网出入

VPC功能-自主可控的网络

VPC功能-公网出入

VPC可以通过EIP，负载均衡，NAT网关等实现公网出入

 VPC功能-公网出入EIP和NAT网关对比