|
高士涛-学习日报 |
|||||||
|
姓名 |
高士涛 |
日期 |
2023/09/13 |
部门 |
云服务业务部 |
导师 |
王晓明 |
|
学习工作内容 |
|||||||
|
阿里云 OSS 与 WAF 集成实验 |
|||||||
|
【学习目的】 1. 掌握对阿里云对象存储OSS的使用,学会创建Bucket,熟悉Bucket的关键配置操作 · 文件管理 · 权限控制 · 域名管理 · 理解OSS绑定自定义域名的含义及作用 2.
掌握对阿里云WAF(Web应用防火墙3.0)的使用 · 能够将Web网站域名接入WAF来防护Web网站业务安全 · 能够在WAF管理平台创建自定义防护规则 3. 掌握DNS解析配置 【参考链接】 (1)访问控制的权限控制策略和适用场景介绍_对象存储 OSS-阿里云帮助中心
(aliyun.com) (2)如何为OSS Bucket绑定自定义域名_对象存储 OSS-阿里云帮助中心 (aliyun.com) (3)使用WAF 3.0防护Web网站业务安全-阿里云帮助中心 (aliyun.com) (4)如何添加域名解析记录_云解析 DNS-阿里云帮助中心 (aliyun.com) 【实验内容】 1. 部署并应用对象存储OSS服务 1. 1 创建OSS Bucket 1.1.1 在阿里云首页点击“产品→存储→对象存储OSS”,进入对象存储OSS首页。
图1-1 1.1.2 在对象存储OSS首页点击“管理控制台”,进入对象存储OSS管理控制台。
图1-2 1.1.3 在对象存储OSS管理控制台,选择“Bucket列表”,然后点击“创建Bucket”。
图1-3 1.1.4 在创建Bucket界面,输入要创建的Bucket的名称、地域等信息,其它选项默认即可。然后点击页面下方的“确定”,Bucket即可创建成功。
图1-4 1. 2 上传测试HTML文件到OSS的Bucket 1.2.1 在Bucket管理配置界面,选择“文件列表”,点击“新建目录”。
图1-5 1.2.2 根据自己的需求输入新建目录的名称,然后点击“确定”。
图1-6 1.2.3 点击目录名称的位置,进入该目录。
图1-7 1.2.4 点击“上传文件”按钮。
图1-8 1.2.5 文件ACL选择“公共读”,然后点击“扫描文件”。
图1-9 1.2.6 选择你自己电脑上的HTML测试文件,然后点击“打开”按钮。
图1-10 1.2.7 阿里云管理平台上显示“已扫描待上传”,说明文件扫描成功。然后点击“上传文件”按钮。
图1-11 1.2.8 文件上传任务列表显示“上传成功”。
图1-12 1. 3 为OSS Bucket绑定自定义域名 1.3.1 在Bucket管理界面,选择“概览”,复制第一行的Bucket域名(“外网访问”那行)。
图1-13 1.3.2 在自己域名的DNS解析平台,添加一个解析记录(前提已经购买了域名)。其中,“主机记录”按需自定义填写,“记录类型”选择CNAME,记录值填写刚刚复制的Bucket域名。
图1-14 1.3.3 在Bucket管理界面,点击“Bucket→域名管理→绑定域名”。
图1-15 1.3.4 在弹出的绑定域名界面,输入自己的域名,该域名是在步骤1.3.2中自定义的那个。然后点击“域名所有权验证”按钮。 oss-waf.gaoshitao.cn
图1-16 1.3.5 点击“域名所有权验证”按钮后,下方弹出会展示出一个随机生成的主机记录与TXT记录值,用于验证域名的所有权。
图1-17 1.3.6 复制随机生成的“主机记录”与“值”的内容,然后在域名DNS解析平台,按照如下图(图1-18)对应方式填入。其中,记录类型选择TXT。
图1-18 1.3.7 在域名DNS解析平台添加上记录值以后,在OSS域名绑定界面,点击“我已添加TXT验证文件,继续提交”按钮。
图1-19 1.3.8 域名绑定操作完成后,可以在OSS Bucket的域名管理页面看到如下图(图1-20)所示的记录信息,显示“已绑定”说明域名绑定成功。
图1-20 1. 4 测试OSS Bucket服务的可用性 通过绑定好的域名(即自定义的域名),在浏览器请求访问OSS Bucket中的HTML测试文件,成功显示HTML页面,说明OSS阶段的实验顺利完成,可以继续进行后续的WAF相关配置。 oss-waf.gaoshitao.cn/html/book.html
图1-21 2. 部署并应用WAF(Web应用防火墙3.0)服务 2. 1 Web业务接入WAF(CNAME接入) 2.1.1 在阿里云首页点击“产品→安全→Web应用防火墙WAF”,进入Web应用防火墙WAF首页。
图2-1 2.1.2 在Web应用防火墙WAF首页点击“管理控制台”,进入WAF管理界面。 (如果您还没有开通WAF,可以点击“免费试用”或“开通按量付费”进行体验)
图2-2 2.1.3 在WAF管理界面,选择“接入管理”,然后点击“接入”按钮。
图2-3 2.1.4 在弹出的WAF接入域名配置界面,第一步配置是“配置监听”:输入Web访问域名(即在OSS配置阶段自定义的Web访问域名),协议类型选择HTTP即可(HTTP端口默认是80,也可以根据自己的实际情况进行修改或添加),其它选项默认,然后点击“下一步”按钮。
图2-4 2.1.5 在WAF接入域名配置界面,第二步配置是“配置转发”:服务器地址选择“域名(如CNAME)”选项,然后在下面的输入框输入回源地址(即OSS Bucket管理界面的“概览”中第一行的Bucket域名)。然后点击“提交”按钮。
图2-5 2.1.6 在WAF接入域名配置界面,第三步配置是“接入完成”:根据如下图(图2-6)所示内容修改DNS解析记录(注意是修改,不是添加),实现网站接入防护。
图2-6 2.1.7 在DNS解析平台,修改原有的解析记录。其中,主机记录和记录类型都保持不变,将记录值修改为图2-6中的CNAME地址。最后记得保存。
图2-7 2.1.8 在DNS解析平台修改完成解析记录后,返回WAF接入域名配置界面,点击完成按钮。
图2-8 2.1.9 在WAF接入管理页面,可以看到配置成功的CNAME接入记录,显示“DNS解析正常”,说明之前的配置都正确且生效了。
图2-9 2.1.10 再次通过Web域名对HTML测试文件进行访问测试,结果如下图(图2-10)所示,依然可以正常显示HTML页面。
图2-10 2. 2 配置WAF对Web业务的防护规则 2.2.1 在WAF管理页面,选择“防护配置→防护对象”,点击防护对象条目中的“查看防护规则”以进入防护规则界面。
图2-11 2.2.2 在防护规则界面,点击自定义规则中的“立即配置”,开始配置自定义防护规则。
图2-12 2.2.3 在弹出的“新建模板-自定义规则”界面,输入模板名称,点击“新建规则”按钮,开始新建规则。
图2-13 2.2.4 在弹出的新建规则界面(如下图2-14所示): ① 输入规则名称(自定义), ② 匹配条件选择“URL”(本文档以URL为例), ③ 逻辑符选择“包含”, ④ 匹配内容按照规定格式填写“/666”(自定义,但是格式需符合要求), ⑤ 防护类型为“访问控制”(默认值就是), ⑥ 拦截动作选择“拦截”(默认值就是)。 然后点击“确定”按钮,会自动返回到图2-13中的“新建模板-自定义规则”界面。
图2-14 2.2.5 返回“新建模板-自定义规则”界面后,可以在规则列表中看到已经新建的规则(如图2-15所示)。然后勾选防护对象中的待选对象的内容,鼠标点击向右的箭头,实现生效对象的添加,最后点击“确定”按钮(如图2-15和图2-16所示)。
图2-15
图2-16 2.2.6 在WAF防护规则管理界面,可以看到自定义的防护规则(如图2-17所示)。
图2-17 2. 3 测试WAF对Web业务的防护效果 2.3.1 在浏览器地址栏,正常输入访问HTML测试文件的URL请求链接,结果依然可以正常显示HTML测试文件的页面。 oss-waf.gaoshitao.cn/html/book.html
图2-18 2.3.2 在浏览器地址栏,输入请求HTML测试文件的URL的同时,在后面加上“/666”,结果如图2-19所示,触发到WAF防护规则了(本次请求URL中包含/666字符串),该请求被WAF拒绝了。 oss-waf.gaoshitao.cn/html/book.html/666
图2-19 2.3.3 在浏览器地址栏,输入“oss-waf.gaoshitao.cn/666”,结果如图2-20所示,还是触发到WAF的防护规则了(本次请求URL中包含/666字符串),该请求也被WAF拒绝了。 oss-waf.gaoshitao.cn/666
图2-20 2.3.4 在浏览器地址栏,输入“oss-waf.gaoshitao.cn/6666777”,结果如图2-21所示,依然触发到WAF的防护规则了(本次请求URL中包含/666字符串),该请求也被WAF拒绝了。 oss-waf.gaoshitao.cn/6666777
图2-21 2.3.5 在浏览器地址栏,输入“oss-waf.gaoshitao.cn/66”,结果如图2-22所示,这次并没有触发到WAF的防护规则(本次请求URL中没有/666字符串),该请求没有被WAF拒绝,只是因为找不到目录或文件而提示了报错。 oss-waf.gaoshitao.cn/66
图2-22 |
|||||||
|
遗留问题 |
|||||||
|
|
|||||||
|
明日计划 |
|||||||
|
继续深入学习 |
|||||||
