前言
华为云产品
安全、可信、持续创新的产品与服务。
一、产品介绍
1. 计算
弹性云服务器 ECS
可随时自动获取、弹性伸缩的云服务器镜像服务 IMS
提供完善的镜像管理能力Huawei Cloud EulerOS
充分发挥华为云优势的操作系统云化数据中心 CloudDC
助力自持资产客户快速云化转型
2. 网络
虚拟私有云 VPC
隔离的、私密的虚拟网络环境弹性公网IP EIP
提供独立的公网IP资源服务弹性负载均衡 ELB
将流量自动分发到多台云服务器云专线 DC
搭建本地数据中心与VPC间的专属连接通道虚拟专用网络 VPN
数据中心与华为云的IPsec加密连接通道NAT网关 NAT
提供网络地址转换服务企业路由器 ER
提供高可靠的集中路由管理能力云解析服务 DNS
提供高可用,高扩展的DNS和管理服务内容分发网络 CDN
就近获得所需内容,改善网络拥挤状况
3. 容器
云容器引擎 CCE
提供高可靠的企业级容器应用管理服务容器镜像服务 SWR
一种支持容器镜像全生命周期管理的服务云容器实例 CCI
提供敏捷安全的Serverless容器服务
4. 中间件
1. 应用中间件
微服务引擎 CSE
微服务快速注册发现、配置管理及治理分布式缓存服务Redis®版
兼容Redis®的高速内存数据处理引擎分布式缓存服务Memcached版
一个高性能、分布式的缓存系统分布式消息服务 DMS
完全托管的高性能消息队列服务分布式消息服务Kafka版
高吞吐、高可用的消息中间件服务分布式消息服务RabbitMQ版
支持AMQP协议,兼容RabbitMQ生态分布式消息服务RocketMQ版
低延迟、高可靠,兼容开源RocketMQ
2.数据库
1.关系型数据库
云数据库 RDS for MySQL
稳定可靠、安全运行、弹性伸缩云数据库 GaussDB
新一代企业级分布式关系型数据库产品云数据库 RDS for PostgreSQL
开源数据库,保证数据的可靠性和完整性云数据库 RDS for SQLServer
世界上广受欢迎的商用关系型数据库之一云数据库 RDS for MariaDB
开源数据库、即开即用、稳定可靠
2.非关系型数据库
- 文档数据库服务 DDS
支持集群和副本集部署,弹性伸缩
3.数据库生态工具&中间件
分布式数据库中间件 DDM
突破容量和性能瓶颈,支持高并发访问数据复制服务 DRS
业务不停机中完成数据库迁移上云
3.存储
- 对象存储服务 OBS
稳定、安全、高效、易用的云存储服务
4.迁移工具
- 云数据迁移 CDM
提供同/异构数据源之间批量数据迁移服务
5. 开发与运维
1.软件开发生产线
软件开发生产线 CodeArts
内置华为实践的一站式软件开发平台代码托管 CodeArts Repo
提供基于Git的在线代码托管服务流水线 CodeArts Pipeline
可视化、可定制的持续交付发布软件代码检查 CodeArts Check
基于云端实现代码质量管理的服务编译构建 CodeArts Build
提供开箱即用、快速的构建能力部署 CodeArts Deploy
提供可视化、一键式部署服务制品仓库 CodeArts Artifact
提供多类型、安全可靠的软件制品仓库华为开源镜像站 Mirrors
开源组件、操作系统及DevOps工具CodeArts IDE
智能化集成开发环境
8. 安全与合规
1. 应用服务保护
DDoS防护 AAD
快速缓解对业务造成瘫痪的网络攻击Web应用防火墙 WAF
识别恶意请求特征和防御未知威胁云防火墙 CFW
网络流量管控与入侵安全防护
7. 管理与监管
统一身份认证服务 IAM
提供身份认证和权限管理功能应用身份管理服务 OneAccess
具备集中式的身份管理、认证和授权能力应用运维管理 AOM
提供立体运维平台,实时监控应用应用性能管理 APM
实时监控并管理企业应用性能和故障云日志服务 LTS
提供日志收集、实时查询、存储等功能资源访问管理 RAM
提供安全的跨账号共享资源的能力配置审计 Config
提供全局资源配置管理,配置检测能力
8. 大数据
1.大数据计算
MapReduce服务 MRS
企业级大数据集群云服务数据仓库服务 DWS
极致性能、稳定、按需扩展的数据仓库
2.大数据搜索与分析
- 日志分析服务 Log
提供开箱即用的ELK日志解决方案
3.数据可视化
大数据治理与开发
数据治理中心 DataArts Studio
一站式数据开发与治理平台
9. 人工智能
1.盘古大模型
盘古大模型
打造行业大模型,重塑千行百业
大模型开发平台ModelArts Studio
百模千态,一站式大模型工具链平台
2.AI基础平台
AI开发平台ModelArts
面向AI开发者的一站式开发平台
大模型即服务平台 MaaS
云上一站式大模型开发及服务平台
二、计算
1. 弹性云服务器 ECS
可随时自动获取、弹性伸缩的云服务器
2. 镜像服务 IMS
提供完善的镜像管理能力
三、网络
1. 虚拟私有云 VPC
隔离的、私密的虚拟网络环境
2. 弹性公网IP EIP
提供独立的公网IP资源服务
3. 弹性负载均衡 ELB
将流量自动分发到多台云服务器
4. 云专线 DC
搭建本地数据中心与VPC间的专属连接通道
5. 虚拟专用网络 VPN
数据中心与华为云的IPsec加密连接通道
6. NAT网关 NAT
提供网络地址转换服务
7. 企业路由器 ER
提供高可靠的集中路由管理能力
8. 云解析服务 DNS
提供高可用,高扩展的DNS和管理服务
9. 内容分发网络 CDN
就近获得所需内容,改善网络拥挤状况
四、容器
1. 云容器引擎 CCE
提供高可靠的企业级容器应用管理服务
2. 容器镜像服务 SWR
一种支持容器镜像全生命周期管理的服务
3. 云容器实例 CCI
提供敏捷安全的Serverless容器服务
五、应用中间件
1. 微服务引擎 CSE
微服务快速注册发现、配置管理及治理
2. 分布式缓存服务Redis®版
兼容Redis®的高速内存数据处理引擎
3. 分布式消息服务RabbitMQ版
支持AMQP协议,兼容RabbitMQ生态
4. 分布式消息服务Kafka版
高吞吐、高可用的消息中间件服务
5. 分布式消息服务RocketMQ版
低延迟、高可靠,兼容开源RocketMQ
六、数据库
1.关系型数据库
1.云数据库 RDS for MySQL
稳定可靠、安全运行、弹性伸缩
2.云数据库 GaussDB
新一代企业级分布式关系型数据库产品
2.非关系型数据库
1.文档数据库服务 DDS
支持集群和副本集部署,弹性伸缩
3.数据库生态工具&中间件
1.数据复制服务 DRS
业务不停机中完成数据库迁移上云
七、存储
1.对象存储服务 OBS
稳定、安全、高效、易用的云存储服务
八、迁移工具
1.云数据迁移 CDM
提供同/异构数据源之间批量数据迁移服务
九、软件开发生产线
1.软件开发生产线 CodeArts
内置华为实践的一站式软件开发平台
2.代码托管 CodeArts Repo
提供基于Git的在线代码托管服务
3.流水线 CodeArts Pipeline
可视化、可定制的持续交付发布软件
4.代码检查 CodeArts Check
基于云端实现代码质量管理的服务
5.编译构建 CodeArts Build
提供开箱即用、快速的构建能力
6.部署 CodeArts Deploy
提供可视化、一键式部署服务
7.制品仓库 CodeArts Artifact
提供多类型、安全可靠的软件制品仓库
8.华为开源镜像站 Mirrors
开源组件、操作系统及DevOps工具
9.CodeArts IDE
智能化集成开发环境
十、安全防护
1.DDoS防护 AAD
- 什么是DDoS攻击
拒绝服务(Denial of Service,简称DoS)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时,称为分布式拒绝服务攻击(Distributed Denial of Service Attack,简称DDoS)。常见DDoS攻击类型如下。
| 攻击类型 | 说明 | 举例 |
|---|---|---|
| 网络层攻击 | 通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。 | NTP Flood攻击。 |
| 传输层攻击 | 通过占用服务器的连接池资源,达到拒绝服务的目的。 | SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击。 |
| 会话层攻击 | 通过占用服务器的SSL会话资源,达到拒绝服务的目的。 | SSL连接攻击。 |
| 应用层攻击 | 通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的。 | HTTP Get Flood攻击、HTTP Post Flood攻击。 |
- DDoS防护
2.Web应用防火墙 WAF
- 功能总览
Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
在WAF管理控制台将网站添加并接入WAF,即可启用WAF。启用之后,网站所有的公网流量都会先经过WAF,恶意攻击流量在WAF上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
WAF支持云模式、独享模式两种部署方式。
- 独享模式
(1) 原理
独享模式接入通过DNS解析,将防护域名的DNS解析指向绑定到独享引擎配置的负载均衡上的弹性公网IP实例,使域名的Web业务引流到WAF。WAF检测过滤恶意攻击流量后,通过独享引擎的回源IP/IP段将正常流量返回给源站服务器。
该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。
(2) 适用业务场景
业务服务器部署在华为云的大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。
(3) 防护对象
域名、公网IP、私网IP
(4) 网站接入WAF
独享模式下,将网站接入WAF后,网站流量会通过ELB传给WAF,经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。网站接入WAF后,流量访问示意图如下。
流量访问说明如下:
1.用户在浏览器输入域名后,客户端会向DNS发送请求,查询域名解析地址。
2.DNS返回域名解析地址。
3.如果无代理(例如CDN、DDos高防等),DNS返回的域名解析地址为ELB的公网IP地址,客户端通过该公网IP访问ELB。如果存在代理:
3.1DNS返回的域名解析地址为代理IP,客户端通过代理IP访问代理。
3.2代理通过ELB的公网IP访问ELB。
4.ELB将流量传给WAF。
5.经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。
- 防护策略
(1) 防护配置概述
网站接入WAF后,默认生成一个关联防护域名的防护策略,可以根据业务需要,在该防护策略中配置防护规则。也可以单独添加防护策略并关联防护域名后,配置防护规则,实现WAF安全防护。
(2) 防护检测原理
WAF引擎会根据已配置的不同条件的防护规则,按照检测流程,对HTTP/HTTPS请求进行检测,并按照配置的防护动作进行处置。相同条件的防护规则仅支持配置一个防护动作,因此,WAF防护检测顺序仅与防护规则类型有关,与配置的防护动作无关。
- WAF引擎检测流程
防护动作说明如下:
- pass(放行):命中规则后无条件放行当前请求。
- block(拦截):命中规则后拦截当前请求。
防护动作配置为拦截时,支持配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。 - captcha(人机验证):命中规则后执行人机验证动作。
- redirect(重定向):命中规则后通知客户端执行重定向动作。
- log(仅记录):命中规则后仅记录攻击信息。
- mask(脱敏):命中规则后对相关敏感信息进行脱敏处理。
防护规则检测顺序
| 防护规则 | 说明 |
|---|---|
| 全局白名单规则 | 针对特定请求忽略某些攻击检测规则,用于处理误报事件。 |
| 黑白名单规则 | 配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。支持配置攻击惩罚标准封禁访问者指定时长。 |
| 地理位置访问控制规则 | 针对指定国家、地区的来源IP自定义访问控制。 |
| 威胁情报访问控制规则 | 基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。 |
| 精准访问防护规则 | 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。支持配置攻击惩罚标准封禁访问者指定时长。 |
| 扫描防护规则 | 扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。 |
| BOT管理规则 | 支持已知BOT检测、请求特征检测、BOT行为检测。通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。 |
| 网站反爬虫规则 | 动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。 |
| CC攻击防护规则 | 可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。支持配置攻击惩罚标准封禁访问者指定时长。 |
| Web基础防护 | 防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。 |
| 网页防篡改规则 | 当用户需要防护静态页面被篡改时,可配置网页防篡改规则。 |
| 防敏感信息泄露规则 | 该规则可添加两种类型的防敏感信息泄露规则:敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。响应码拦截。配置后可拦截指定的HTTP响应码页面。 |
| 隐私屏蔽规则 | 隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 |
| 大模型检测 | WAF大模型检测支持通过提示词验证、响应合规检测,识别并过滤不良或违规内容后,确保大模型输入和输出内容安全、稳定、可用、合规。 |
3.云防火墙 CFW
云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。
十一、管理与监管
1.应用运维管理 AOM
提供立体运维平台,实时监控应用
2.应用性能管理 APM
实时监控并管理企业应用性能和故障
3.云日志服务 LTS
提供日志收集、实时查询、存储等功能
4.统一身份认证服务 IAM
提供身份认证和权限管理功能
5.应用身份管理服务 OneAccess
具备集中式的身份管理、认证和授权能力
6.资源访问管理 RAM
提供安全的跨账号共享资源的能力
7.配置审计 Config
提供全局资源配置管理,配置检测能力
十二、大数据
1.大数据计算
1.MapReduce服务 MRS
企业级大数据集群云服务
2.数据仓库服务 DWS
极致性能、稳定、按需扩展的数据仓库
2.大数据搜索与分析
1.日志分析服务 Log
提供开箱即用的ELK日志解决方案
3.大数据治理与开发
1.数据治理中心 DataArts Studio
一站式数据开发与治理平台
本文的引用仅限自我学习如有侵权,请联系作者删除。
参考知识
华为云产品