關于騰訊云安全技術及解決方案計科1202班 12281201 孫楊威 整理一. 什么是云安全？“云安全”是“云計算”技術的重要分支，已經(jīng)在反病毒領域當中獲得了廣泛應用。云安全通過網(wǎng)狀的大量客戶端對網(wǎng)絡

關于騰訊云安全技術及解決方案

計科1202班 12281201 孫楊威 整理

一. 什么是云安全？

“云安全”是“云計算”技術的重要分支，已經(jīng)在反病毒領域當中獲得了廣泛應用。云安全通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。整個互聯(lián)網(wǎng)，變成了一個超級大的殺毒軟件，這就是云安全計劃的宏偉目標。

二. 騰訊云安全服務概述

騰訊云安全是由騰訊專業(yè)安全團隊傾力打造，為云服務用戶提供DDoS 防護、DNS 劫持檢測、入侵檢測、漏洞掃描、網(wǎng)頁木馬檢測、登錄防護等安全服務。

騰訊云安全服務有如下特點：

1. 全方位安全防護

為云服務器提供一體化的安全服務，包括安全體檢（漏洞掃描、掛馬檢測、網(wǎng)站后門檢測、端口安全檢測等）和安全防御（DDoS 防護、入侵檢測、訪問控制來保證數(shù)據(jù)安全與用戶隱私）。

2. 實時告警定期分析

7*24小時的安全服務，第一時間發(fā)現(xiàn)漏洞，實時免費通知到您。

3. 免費方便安全保障

無需為您的云服務購買昂貴的安全設備，購買云服務即可免費享用云安全服務。一鍵開通，零部署，方便簡單。

4. 專業(yè)團隊，可靠保障

云安全是由具備多年安全經(jīng)驗與歷練的騰訊安全團隊傾力打造，為云服務用戶提供的專業(yè)安全服務，值得您的信賴。

當前，騰訊云安全主要提供DDoS 防護、DNS 劫持檢測、入侵檢測、漏洞掃描、登錄防護等服務。

三．安全加固組件

安全加固組件是騰訊云提供的一套先進的主機入侵防御服務，如果您的機器被黑客入侵，安全加固組建可以實時發(fā)現(xiàn)并提醒您，可有效避免服務受損、核心數(shù)據(jù)被盜的風險，為您的機器打造“固若金湯”的安全防線。

安全加固組件功能

貼心的異地登錄提醒：如果您的機器被黑客或者其他未授權的用戶非法登錄時，安全加固組件可以實時發(fā)現(xiàn)并通知到您，讓您快速發(fā)現(xiàn)并且處理非法入侵。

實時的暴力破解發(fā)現(xiàn)：如果有人嘗試暴力破解您的主機密碼時，安全加固組件及時幫您發(fā)現(xiàn)并阻止惡意嘗試。

專業(yè)后門、木馬檢測：當黑客在您的機器上留下后門或者上傳非法程序時，安全加固組件及時檢測，并且實時通知到您。

四．DDoS 防護 1. DDoS攻擊介紹

DDoS （Distributed Denial of Service）是分布式拒絕服務攻擊的英文縮寫，它是一種利用多臺計算機向指定目標服務器發(fā)送攻擊數(shù)據(jù)包，導致目標服務器系統(tǒng)資源或帶寬耗盡，從而對正常業(yè)務請求出現(xiàn)拒絕服務的攻擊行為。

常見的DDoS 攻擊分為如下兩類：

協(xié)議缺陷型

利用TCP ，DNS 等互聯(lián)網(wǎng)協(xié)議的缺陷，向服務器發(fā)送無用卻必須處理的數(shù)據(jù)包來搶占服務器系統(tǒng)資源，從而達到影響正常業(yè)務服務的目的。常見的攻擊類型包括：SYNFLOOD ，ACKFLOOD ，DNSFLOOD 等。 流量阻塞型

通過發(fā)送大量滿負載垃圾數(shù)據(jù)包到目標服務器，使鏈路帶寬耗盡，從而達到影響正常業(yè)務服務的目的。常見的攻擊類型包括UDPFLOOD ，ICMPFLOOD 等。

2. DDoS攻擊的影響

分布式拒絕服務攻擊將會使目標服務器承載的業(yè)務處于不可用狀態(tài)，直接影響業(yè)務的收入或口碑。對于B/S類業(yè)務，用戶無法打開網(wǎng)頁，如www.qq.com ；對于C/S類業(yè)務，如網(wǎng)游，就是在線用戶大量掉線，同時用戶無法成功登錄游戲。

3. 云安全DDoS 防護系統(tǒng)特點

1. 專業(yè)防護設備

采用業(yè)界主流專業(yè)DDoS 防護設備，可有效抵御SYNFLOOD ，UDPFLOOD ，CC 等常見攻擊，保障用戶業(yè)務的正常運作。

2. 自動化防護

通過檢測設備與防護設備聯(lián)動，當發(fā)現(xiàn)攻擊時，立即加入保護，無需人工介入。

3. 精準的數(shù)據(jù)分析

系統(tǒng)實時提供流量數(shù)據(jù)，通過數(shù)據(jù)分析攻擊情況；同時提供攻擊類型、攻擊流量、攻擊時長等數(shù)據(jù)，便于取證、追溯及分析。

4. 云安全DDoS 防護能力

騰訊云為HTTP 以及移動加速類業(yè)務提供了免費的專用防護系統(tǒng)-大禹系統(tǒng)，其提供防護能力數(shù)倍于騰訊云通用的DDoS 防護方案，達到100G 水平，如需進一步了解大禹系統(tǒng)，請進入大禹系統(tǒng)。

針對非HTTP 類型業(yè)務（如游戲）提供高防專區(qū)，如需進一步了解高防專區(qū)，請進入DDos 高級防護。

1. 針對普通機房和高防專區(qū)的免費用戶（未購買帶寬包但是使用了高防三網(wǎng)IP ）:

外網(wǎng)IP 被攻擊峰值超過2Gbps(1核1G 機型閥值為500Mbps) 會執(zhí)行封IP 操作，三個月內(nèi)所有外網(wǎng)IP 被攻擊次數(shù)之和小于3次的封堵時長為2-24小時（根據(jù)各運營商封堵策略不同，有所區(qū)分），所有外網(wǎng)IP 被攻擊次數(shù)大于等于3次的封堵時間為72小時。

2. 高防帶寬包付費用戶：

攻擊峰值超過帶寬包購買值后會執(zhí)行封堵，封堵時間為2小時。

五．大禹系統(tǒng)

騰訊大禹系統(tǒng)簡介

針對行業(yè)面臨DDoS 威脅越來越嚴重的問題，騰訊云安全團隊自研并推出了一套業(yè)界領先防護方案——騰訊云分布式DDoS 防護方案（后稱大禹系統(tǒng)）。大禹系統(tǒng)專為移動端業(yè)務和HTTP 類業(yè)務開發(fā)商提供的DDoS 防護服務。

大禹系統(tǒng)在全國部署了多個攻擊防護點，通過高效動態(tài)調(diào)度網(wǎng)絡流量，有效組織起騰訊云全網(wǎng)各點冗余帶寬和防護能力，為開發(fā)商的業(yè)務的高可用性保駕護航。

大禹系統(tǒng)具備如下幾個特點：

免費

大禹系統(tǒng)為開發(fā)商提供了免費數(shù)倍于騰訊云通用DDoS 系統(tǒng)的防護能力，滿足絕大多數(shù)開發(fā)商的DDoS 防護需求。接入大禹系統(tǒng)后DDoS 防護成本由騰訊云來墊付，開發(fā)商不必關心DDoS 防護成本。

一次接入，兩種能力

大禹系統(tǒng)的防護點是基于騰訊云移動加速服務的加速點和靜態(tài)加速的節(jié)點改造而成，因此具備騰訊云移動

加速服務的業(yè)務加速能力和網(wǎng)站靜態(tài)加速的能力。進而客戶接入大禹系統(tǒng)后，系統(tǒng)就會向開發(fā)商同步提供防護DDoS 和加速的能力，即被攻擊的時候系統(tǒng)為開發(fā)商業(yè)務提供防護；不被攻擊的時候系統(tǒng)為開發(fā)商業(yè)務提供加速服務。

業(yè)界領先的防護能力

騰訊云網(wǎng)絡具備業(yè)界最先進的DDoS 防護能力，大禹系統(tǒng)每個防護點均具備超大的擴容空間。同時騰訊云安全團隊會不斷檢測業(yè)務受攻擊情況，根據(jù)行業(yè)安全現(xiàn)狀實施擴容。

平滑的業(yè)務體驗

大禹系統(tǒng)具備快速切換流量的能力，但某個節(jié)點出現(xiàn)問題后，可快速的將流量切換到其他節(jié)點上。

針對HTTP 類業(yè)務，大禹系統(tǒng)還提供了自動更換web 服務器IP 的作用。當您的web 服務器被攻擊出問題后可以快速更換您的web 服務器外網(wǎng)IP ，并將流量轉發(fā)到新的外網(wǎng)IP 上，保持您在被大流量攻擊的情況下，業(yè)務平滑。

騰訊大禹系統(tǒng)技術原理

3.1 騰訊大禹系統(tǒng)網(wǎng)絡架構

大禹系統(tǒng)大致架構圖如下圖所示。其中共包括如下幾個主要系統(tǒng)：移動加速系統(tǒng)、攻擊防護點、源站、騰訊宙斯盾系統(tǒng)。

網(wǎng)絡節(jié)點作用：

調(diào)度系統(tǒng)，在大禹系統(tǒng)中起著智能域名解析、網(wǎng)絡監(jiān)控、流量調(diào)度等作用。

源站，開發(fā)商業(yè)務服務器。

攻擊防護點，主要作用是過濾攻擊流量，并將正常流量轉發(fā)到源站。

騰訊宙斯盾系統(tǒng)，是騰訊的通用DDoS 防護系統(tǒng)，在大禹系統(tǒng)中會與攻擊防護點配合起來，以起到超大流量的防護作用，提供雙重防護的能力；另外騰訊宙斯盾系統(tǒng)還保護了所有騰訊的機房和系統(tǒng)。

3.2 分布式防護點特點

騰訊云安全團隊在全國多個城市搭建了高強度的攻擊防護點。分布圖如下圖所示：

圖中的攻擊防護點是騰訊云專為大禹系統(tǒng)搭建防護機房。每個攻擊防護點均獨立部署，和其他騰訊自營業(yè)務進行完全隔離，并且為后續(xù)的防護能力升級提前進行了網(wǎng)絡規(guī)劃。當前系統(tǒng)中的攻擊防護點具備攻擊防護影響的最小化，以及防護能力升級的便捷化。

大禹系統(tǒng)中的攻擊防護點借助了騰訊云移動加速服務的全網(wǎng)流量調(diào)度能力，并針對DDoS 攻擊的流量特點自研了一套高效流量調(diào)度算法，將保證開發(fā)商業(yè)務的高可用性作為最重要的算法效果指標。

3.3 系統(tǒng)適用場景

大禹系統(tǒng)支持如下業(yè)務場景：

支持基于TCP ，HTTP 協(xié)議的移動端業(yè)務；支持基于HTTP 協(xié)議的業(yè)務

支持安卓/IOS系統(tǒng)；

支持各類主流游戲開發(fā)框架，例如cocos2d-x ， unity3D 等；

支持防護業(yè)界主流的各種攻擊類型，例如TCP SYN、TCP ACK、TCP FIN、UDP 、ICMP 、DNS 、CC 攻擊等。

六．網(wǎng)站入侵

1. 網(wǎng)站入侵介紹

網(wǎng)站入侵是指黑客利用網(wǎng)站和系統(tǒng)的各種安全漏洞對網(wǎng)站以及其服務器進行各種非法操作，對網(wǎng)站造成破壞的行為。網(wǎng)站入侵輕則影響到網(wǎng)站的正常運行，重則可以導致敏感數(shù)據(jù)泄漏，資金被盜等，對網(wǎng)站的危害非常大。

2. 網(wǎng)站后門木馬說明

網(wǎng)站后門木馬又叫webshell ，一般是黑客通過漏洞入侵網(wǎng)站后放置的PHP ，JSP 等動態(tài)腳本，黑客可以通過這個后門木馬持續(xù)地控制服務器，進行文件上傳下載，執(zhí)行命令等各種破壞行為，是黑客常用的入侵工具，對網(wǎng)站安全危害巨大。

3. 云安全網(wǎng)站反入侵系統(tǒng)介紹

騰訊云安全團隊針對常見的網(wǎng)站入侵行為，提供專業(yè)的網(wǎng)站后門木馬檢測等安全功能，通過專業(yè)分析模型，定期檢測網(wǎng)站，及早發(fā)現(xiàn)木馬并通知到您，為您的網(wǎng)站安全運行保駕護航。

1. Local DNS劫持介紹

Local DNS劫持是一種通過改變指定域名在運營商側Local DNS配置的正確解析指向，將該域名的解析結果重定向到劫持IP 的劫持行為。

Local DNS劫持類型可大致分為運營商緩存，廣告，惡意劫持等類別。

其中運營商緩存是運營商側為了降低跨網(wǎng)流量及用戶訪問速度進行的一種良性劫持；廣告劫持是運營商或惡意團體將用戶正常頁面指向到廣告頁面或在正常頁面中插入第三方廣告的劫持行為；惡意劫持是指通過改變域名指向IP ，將用戶訪問流量引到掛馬，盜號等對用戶有害頁面的劫持。

七．DNS 劫持

2. DNS劫持的影響

DNS 劫持的目的就是改變業(yè)務原有的域名指向，將用戶引導到劫持者指定IP ，從而實現(xiàn)劫持者的種種目的。DNS 劫持會直接改變業(yè)務希望呈現(xiàn)在用戶面前的信息，降低用戶體驗，使業(yè)務和用戶的利益都受到損失。

3. 云安全DNS 劫持檢測系統(tǒng)特點

1. 突破運營商地域限制

采用多點部署原則，有效解決運營商DNS 解析服務地域限制帶來的影響，最大限度提升域名檢測的準確性。

2. 快速發(fā)現(xiàn)劫持行為

采用高效的域名探測調(diào)度策略，確保60分鐘內(nèi)發(fā)現(xiàn)域名被劫持。

3. 細粒度的日志審計

為用戶保存劫持IP 及其省份、ISP 等信息，便于后續(xù)的分析與審計，同時提供精細化的劫持分析，了解劫持威脅。

4. DNS劫持修復建議

Local DNS劫持類型可大致分為運營商緩存、運營商廣告、惡意劫持等類型，當出現(xiàn)運營商緩存和運營商廣告等方式的劫持時，請您聯(lián)系運營商進行處理；當出現(xiàn)惡意劫持時，請聯(lián)系域名服務商或者運營商進行處理。

八．漏洞掃描

1. 網(wǎng)站漏洞說明

網(wǎng)站漏洞主要指由于客戶未對用戶輸入數(shù)據(jù)進行必要的合法性校驗及安全過濾，導致了攻擊者可以利用漏洞來盜取用戶信息，入侵并控制網(wǎng)站服務器等。

2. 云安全漏洞掃描服務介紹

1. 全方位漏洞檢測

采用分布式掃描系統(tǒng)，支持檢測SQL 注入，XSS 等各種常見的網(wǎng)頁漏洞及第三方應用漏洞，發(fā)現(xiàn)能力強，誤報率低。

2. 實時反饋

當發(fā)現(xiàn)存在網(wǎng)站漏洞時，會通過站內(nèi)信件或者手機短信及時通知到您。

3. 專業(yè)漏洞修復指引

通過簡潔專業(yè)的修復指引，三分鐘輕松修復網(wǎng)站漏洞。

九．登錄防護

1. 登錄防護說明

客戶購買了騰訊云服務器，則可以通過公共網(wǎng)絡登錄并使用所購買的服務器。其中，可能會出現(xiàn)一些安全風險問題，如密碼泄露導致的非法用戶訪問云服務器，或者密碼過于簡單導致的被惡意探測破解等。 登錄防護就是在客戶登錄的渠道，通過信息對比與分析，及時發(fā)現(xiàn)異常登錄風險問題并進行告警，引導客戶完成風險修復，保護客戶對云服務器的所有權。

2. 云安全登錄防護功能介紹

1. 登錄流水查詢

提供客戶登錄云服務器的流水查詢功能，用戶可以對比流水與自己登錄行為的差異，得出是否有異常登錄行為，并采取相應的安全措施。

2. 暴力破解告警

通過多緯度多種手段，檢測云服務器是否被嘗試暴力破解其密碼。檢測有異常，會通過站內(nèi)信或者短信等渠道對用戶進行告知。

3. 異地登錄告警

通過對比客戶當前登錄地區(qū)與日常登錄地區(qū)的差異，對異地登錄行為進行一定的告警。

十．網(wǎng)站安全防護

1、網(wǎng)站安全防護(WAF)說明

網(wǎng)站安全防護(WAF)一款通過對http 請求的檢測分析，為Web 應用提供實時防護的安全產(chǎn)品。 騰訊云安全的網(wǎng)站安全防護主要提供以下功能：

漏洞攻擊防護: 網(wǎng)站安全防護目前可攔截常見的web 漏洞攻擊，例如SQL 注入、XSS 跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

虛擬補丁: 網(wǎng)站安全防護可提供0Day ，NDay 漏洞防護。當發(fā)現(xiàn)有未公開的0Day 漏洞，或者剛公開但未修復的NDay 漏洞被利用時，WAF 可以在發(fā)現(xiàn)漏洞到用戶修復漏洞這段空檔期對漏洞增加虛擬補丁，抵擋黑客的攻擊，防護網(wǎng)站安全。

2、網(wǎng)站安全防護(WAF)系統(tǒng)特點

實時防護：

網(wǎng)站安全防護可以實時阻斷黑客通過web 漏洞試圖入侵服務器、危害用戶等惡意行為；可以實時屏蔽惡意掃描程序爬蟲，為您的系統(tǒng)節(jié)省帶寬和資源。

零成本開通:

網(wǎng)站安全防護無需配置DNS 指向及其他網(wǎng)絡配置，一鍵開通，不影響業(yè)務的正常運作。

3、常見問題

Q:網(wǎng)站安全防護(WAF)能夠提供什么樣的安全保護?

A:網(wǎng)站安全防護(WAF) 專門保護網(wǎng)站免受黑客攻擊，能有效阻擋黑客拖庫、惡意掃描等行為；同時在0 day漏洞爆發(fā)時，可以快速響應，攔截針對此類漏洞的攻擊請求。

Q:網(wǎng)站安全防護(WAF) 的工作原理是什么樣的?

A:網(wǎng)站安全防護(WAF)基于對http 請求的分析，如果檢測到請求是攻擊行為，則會對請求進行阻斷，不會讓請求到業(yè)務的機器上去，提高業(yè)務的安全性，為web 應用提供實時的防護。

Q:怎樣開通網(wǎng)站安全防護(WAF)?

A:目前是部分開放階段，需要邀請才能體驗；如有需要可聯(lián)系客服經(jīng)理開通。

Q:網(wǎng)站安全防護(WAF)能夠防護哪些漏洞類型的攻擊?

A:網(wǎng)站安全防護(WAF)目前可攔截常見的web 漏洞攻擊，例如SQL 注入，XSS 跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

Q ：網(wǎng)站安全防護(WAF)能夠防護哪些端口的攻擊?

A:目前網(wǎng)站安全防護(WAF)只支持80、8080 端口的http 請求，不支持https 和其他端口的請求。 Q ： 如何關閉網(wǎng)站安全防護(WAF)功能？

A ：目前是部分開放階段，可直接聯(lián)系客服經(jīng)理關閉。

十一．云安全認證

什么是騰訊云安全認證？

騰訊云安全認證是騰訊云提供的免費安全認證服務，通過申請審核的用戶將獲得權威的騰訊云認證展示，讓您的業(yè)務獲得騰訊億萬用戶的認可。

1）免費安全服務：騰訊云提供多項免費安全保障，全方位為您的業(yè)務保駕護航。具體如下：

DDoS 防護：專業(yè)的DDoS 防護服務，讓您遠離DDoS 攻擊影響。

DNS 劫持檢測：提供域名在Local DNS上的解析監(jiān)控，及時發(fā)現(xiàn)域名指向異常。

后門木馬檢測：通過專業(yè)的分析模型，幫您及早發(fā)現(xiàn)網(wǎng)站后門木馬。

暴力破解告警：全方位的登錄防護，防止您的服務器被暴力破解。

異地登錄提醒：全方位的登錄防護，及時幫您發(fā)現(xiàn)異地登錄行為。