Cloud Public – Flexible Engine

WAF – service de sécurité pour vérifier et bloquer les attaques Web

Gestion des instances WAF pour les utilisateurs WAF et Contrôle des Attaques sur le web pour les utilisateurs du site Web

WAF (pare-feu d’application Web) est un service de sécurité permettant de vérifier et de bloquer les attaques Web. Il peut résoudre Sqli, XSS, Cmdi et d’autres types d’attaques Web auxquelles les sites Web sont confrontés.

Flexible Engine WAF prend en charge 3 associations pour les utilisateurs WAF.

Voici des scénarios courants.

  1. En utilisant uniquement le WAF mais le DNS pour l’application client serait en dehors du FE sur certains DNS publics.
  2. Utilisation de WAF + DNSaaS qui permettrait également de configurer l’enregistrement DNS dans FE DNSaaS.
  3. Utilisation de WAF + DNSaaS + ECS/CCE qui permettrait de déployer tout le paysage d’application y compris la protection, les DNS, les instances au sein de la FE.

Une fois qu’un utilisateur a fini de configurer une politique de sécurité pour son site web sur le service WAF, la demande envoyée par le visiteur du site web sera vérifiée par le WAF.


Les scénarios d’application courants sont les suivants.

  1. Lorsqu’un utilisateur ordinaire envoie des requêtes normales à un site web protégé par le WAF, sa requête est envoyée au serveur de backend et reçoit une réponse comme auparavant. Mais si un hacker envoie une demande malveillante, sa demande sera interceptée et l’utilisateur du WAF pourra obtenir une alarme personnalisée du WAF qu’il aura lui-même définie.
  2. Un utilisateur peut personnaliser les politiques de sécurité qui dépendent des événements enregistrés par le WAF. Par exemple, ajouter à la liste noire une IP liée à plusieurs attaques de sites web.

Architecture de Produit

Cette section décrit l’architecture du système WAF, les systèmes interconnectés et les procédures d’exploitation des services.

Figure 1. Architecture de haut niveau

Advantages du Produit

Simple et facile à utiliser

Vous pouvez créer une instance WAF et définir des politiques de sécurité en quelques secondes.

Fiable

Le service WAF est déployé dans 2 zones de disponibilité, chaque zone de disponibilité contient un groupe de moteurs WAF composé de plusieurs nœuds, qui a une haute fiabilité, et alloue à chaque domaine 3 EIP pour assurer la fiabilité du réseau.

Haute sécurité

Le WAF intègre la gestion des identités et des accès (IAM) pour l’authentification des utilisateurs afin d’isoler les ressources et les opérations de plusieurs locataires. Le WAF demande aux utilisateurs de configurer un enregistrement de nom DNS ou un enregistrement DNS A, puis le service WAF authentifie l’enregistrement pour garantir que les politiques de sécurité de l’instance WAF ne peuvent être modifiées que par son propriétaire.

Gestion des instances WAF

Le WAF fournit une interface utilisateur web (Web UI) permettant à l’utilisateur du WAF d’effectuer les opérations suivantes :

  1. Les utilisateurs du WAF se connectent sous le contrôle de l’IAM, et accèdent à la console WAF ;
  2. Les utilisateurs du WAF définissent une politique de sécurité pour leur site web sur le WAF ;
  3. Le moteur WAF obtient les politiques du service WAF et configure les règles de sécurité ;
  4. L’utilisateur du site Internet visite le site sur son navigateur ;
  5. Si sa demande inclut un comportement d’attaque, le moteur WAF interceptera cette demande, et le site d’origine ne recevra pas ce message, de même que le moteur WAF envoie les informations d’attaque au serveur d’événements ;
  6. Si sa demande n’inclut aucun comportement d’attaque, WAF Engine enverra cette demande au site web ;
  7. Les utilisateurs du WAF vérifient si leur site web a été attaqué en consultant le tableau de bord ou les événements sur la console Waf.