刘黎辉 秦长征 宋原 周婧

摘要：随着经济水平的不断发展，贯彻发展“新基建”，实现生态化、数字化、智能化、高速化，包括5G—互联网—云计算—大数据-区块链—物联网等。云计算应用在过去十年中呈爆炸式增长，而且增长趋势还远远没有结束。云计算解决规模量级大、成本过高、重复建设、缺乏协同等问题，客户负责其业务在云平台中的安全性，包括存储和处理的数据完整性，以及WEB应用程序和应用程序接口（API）的安全性。据此，公司制定了私有云网站网络安全防护建设方案，为后续私有云安全建设提供思路与方向。

关键词：集群架构;弹性扩容;防御超大流量; 智能语义防护;简易高效。

Abstract：With the continuous development of the economic level， the implementation of the development of "new infrastructure"， to achieve ecological， digital， intelligent， high-speed， including 5G - Internet - cloud computing - big data - blockchain - Internet of things， etc.The use of cloud computing has exploded over the past decade， and the trend is far from over.Cloud computing solves the problems of large scale， high cost， duplicated construction， lack of collaboration， and so on. Customers are responsible for the security of their business in the cloud platform， including the data integrity of storage and processing， as well as the security of Web applications and application program interfaces （APIs）.Accordingly， Shandong Unicom has formulated a network security protection construction plan for private cloud websites， providing ideas and directions for subsequent private cloud security construction.

Key words： cluster architecture;Elastic expansion;Prevention of large flow;Intelligent semantic protection;Simple and efficient。

0引言

随着业务规模的不断增长，公司开始搭建私有云环境，承载主要业务应用。私有云为业务系统带来便利的同时，也面临着云平台安全性+云平台业务的安全性的风险挑战。

WEB防护系统采用基于反向代理模式部署到私有云主机中，设备会作为代理向后转发收到的HTTP 请求，在转发的同时对经过的 HTTP 请求做攻击检测，若存在WEB攻击则记录攻击日志，对该请求作出指定行为是否阻断。提升了公司私有云整体防护能力，助力业务健康发展。

1实施方案

基于私有云现有环境目标和需求，制定出高适配、重防护、可实现的建

设方案，通过松耦合方式，软件反向代理模式部署WEB应用防护系统，速度快、准确率高，在对所经流量进行实时检测和访问控制的同时，不造成过大的性能开销，让平台网站流畅运转。

WEB应用防护系统本身会作为反向代理向后转发收到的HTTP 请求，在

转发的同时对经过的 HTTP 请求做攻击检测，若存在 Web 攻击则记录攻击日志，系统对该请求作出指定行为阻断告警等。

互联网用户访问网站，通过出口设备进行流量牵引，WEB防护系统采用基于反向代理模式部署到私有云主机中，设备会作为代理向后转发收到的HTTP 请求，在转发的同时对经过的 HTTP 请求做攻击检测，若存在WEB攻击则记录攻击日志，对该请求作出指定行为是否阻断。

此解决方案相当于部署了一个分布式 WAF，同时将私有云环境下个的网站业务集群纳入检测和防护范畴，可实现以 WAF集群为主体的访问频率限制配置。将私有云中网站的流量统一集中到一个管理中心进行集中防护，采用统一日志分析、策略下发和访问统计，面对针对不同服务器的入侵扫描、爆破攻击等行为，可实现协同防护、策略联动，实时掌握全局攻击态势，不让单个业务群成为防护的信息孤岛。

集群架构提供多检测点实现性能冗余和负载均衡，确保业务运行时资源占用处于合理水平，满足未来弹性扩充检测节点的需求。快速引入流量进行检测，限制检测耗时，保证W A F服务器宕机等极端情况下的业务连续性。此种模式可方便增删检测节点，理论上可支持无上限的并发处理量。

（1）抵御超大流量

从语言的角度实现分析检测，平均每天检测出数十万次攻击请求，成功抵御Web攻击，把业务流量快速接入到防护中，满足流量快速增长带来的WEB应用防护系统快速弹性扩展需求。在处理性能方面，单台检测节点在处理20万 QPS高并发情况下，99%的请求延迟小于1ms，在防护攻击的同时对用户使用几乎零影响。

（2）智能化语义防护

采用的智能语义分析检测引擎能够从语义上真正理解当前payload是否

為攻击。即对目标字符串按照攻击类型模型依次进行词法分析、语法分析、语义分析，结合安全威胁模型打分，还原出经过层层伪装变形的攻击向量，并从编码的基因层面识别和判断其危害程度，提升对网络攻击行为判断的准确率。

（3）简易高效

安全运维人员无需频繁配置WEB应用防护系统规则，基于智能语义分析

的检测引擎无需添加安全规则即可拦截攻击，默认的防护策略配置即能有效应对不断变化的Web安全威胁，可一键启用拦截模式，在日常运维过程中，管理员通过管理站点，轻松实现精细化水平管理。

3结语

私有云网站安全能力建设方案，凭借智能语义分析算法，形成成熟建设

的思路，为后期快速推广复制提供助力。通过方案确定、测试、流量牵引、防护策略优化，完美的嵌入到私有云安全环境中，通过采用统一日志分析、策略下发和访问统计，面对针对不同服务器的入侵扫描、爆破攻击等行为，可实现协同防护、策略联动，实时掌握全局攻击态势，保障业务安全稳定高效运行。

参考文献

【1】企业私有云建设指南 孙杰 山金孝 张亮 张婷婷 机械工业出版社

【2】私有云架构与实践 尤永康 梅磊 刘松涛 蒋迪 上海交通出版社

【3】网络安全攻防技术实践 闽海钊 电子工业出版社

【4】中华人民共和国网络安全法