阿里云最新活動：阿里云WAF&DB體驗交流阿里云安全產(chǎn)品近期因公司在各云產(chǎn)品使用上的一些情況，與阿里云各專家們進(jìn)行了交流，從中深入的了解了阿里云安全WAF與DB兩款產(chǎn)品，以此分享出來給大家參考。

　　阿里云MVP  云集   基礎(chǔ)服務(wù)技術(shù)負(fù)責(zé)人  張強

第一步：領(lǐng)取阿里云優(yōu)惠券：https://www.aliyun.com/

第二步：在代理商云店下單，即可享受優(yōu)惠：https://partner.aliyun.com/shop/1690271921397837

       1、web應(yīng)用攻擊防護(hù)主要作用：防護(hù)常見的攻擊手段，如SQL注入攻擊，XSS跨站攻擊等、配置后實時生效；實現(xiàn)原理：根據(jù)URL請求參數(shù)實時校驗，若發(fā)現(xiàn)URL中帶有SQL或者JS等腳本語句，直接在網(wǎng)絡(luò)層攔截。

　　2、惡意IP懲罰

　　主要作用：若發(fā)現(xiàn)同一IP在短時間內(nèi)發(fā)生多次WEB攻擊，自動將該IP拉黑一段時間，目前時間間隔與攻擊次數(shù)只能由阿里云配置。

　　實現(xiàn)原理：結(jié)合WEB應(yīng)用攻擊防護(hù)，統(tǒng)計單位時間內(nèi)的攻擊頻率，實現(xiàn)原理較簡單。

　　3、CC安全防護(hù)

　　主要作用：基于IP+URL的組合防護(hù)策略，如針對某個IP在某個URL單位時間內(nèi)的請求頻率統(tǒng)計限制，規(guī)則可以自己指定，單目前不支持一個URL多個規(guī)則，阿里云正在優(yōu)化。

　　實現(xiàn)原理：記錄某個IP在某個URL上單位時間內(nèi)的請求頻率，跟惡意IP懲罰原理類似。

　　4、精準(zhǔn)訪問控制

　　主要作用：可對常見的HTTP請求字段進(jìn)行條件組合，適用于對某個請求有特殊嚴(yán)格限制的操作。

　　實現(xiàn)原理：將HTTP請求中的IP、URL、Referer、Cookie、Header、Content-Type、X-forwarded-For等信息獲取出來，根據(jù)用戶指定的規(guī)則觸發(fā)動作，相對于web攻擊、IP懲罰、CC防護(hù)來說控制的條件粒度可以更細(xì)。

　　注意入坑：精準(zhǔn)訪問控制的匹配規(guī)則是根據(jù)列表，從上到下的匹配，若匹配上一條規(guī)則，則按照匹配上的條件來執(zhí)行動作，不會繼續(xù)往下執(zhí)行，所以注意規(guī)則列表中的排列順序；e.g: 如下圖排序，當(dāng)杭州IP與客服IP訪問注冊驗證碼地址時，若匹配上規(guī)則，照樣被攔截，IP放行將失效。

　　5、禁封地區(qū)

　　主要作用：禁止某個地區(qū)的IP請求訪問。

　　實現(xiàn)原理：根據(jù)IP段來限制請求訪問，實現(xiàn)原理比較簡單。

　　6、網(wǎng)頁防篡改

　　主要作用：鎖定頁面內(nèi)容，防止人員手動誤改或者黑客入侵后篡改，多應(yīng)用于.org等類似政府網(wǎng)站。

　　實現(xiàn)原理：將設(shè)置的某個頁面緩存處理。在設(shè)置的時間內(nèi)返回固定的內(nèi)容，實現(xiàn)比較簡單。

　　7、數(shù)據(jù)風(fēng)控

　　主要作用：識別黑白請求，如批量注冊，批量刷某個接口等，防止非法跳躍式請求，目前數(shù)據(jù)風(fēng)控只支持H5或網(wǎng)頁端。

　　實現(xiàn)原理：在HTML頁面插入token，正常請求鏈路都會有token附加信息，并且有效期只有一次，若直接跳躍請求，沒有token信息或者token信息失效則斷定為惡意請求；如A---B，從A正常跳轉(zhuǎn)到B是帶有token信息的，直接訪問到B則鏈路上不會有token信息。

　　8、防敏感信息泄露

　　主要作用：避免重要信息泄露，如銀行卡、身份證、手機號碼等，針對返回報文信息做攔截處理。

　　實現(xiàn)原理：針對返回報文進(jìn)行識別處理，若返回的接口不在白名單，并且有明感信息，則將報文中明感信息剔除，可能對前端樣式內(nèi)容等產(chǎn)生影響。

　　DB：

　　DB這塊主要咨詢了阿里云2個產(chǎn)品與RDS日常使用中遇到問題，包括注意點、排查思路、解決方案、SQL索引相關(guān)等，分開來介紹。

　　DB產(chǎn)品這塊阿里云官方介紹有，但是寫的比較商業(yè)化，按照個人的理解與阿里云的介紹來描述下：

　　1）、POLADB

　　阿里云自研的一款DB，其核心原理是一寫多讀、分布式存儲、看下阿里云的設(shè)計架構(gòu)圖：

　　采用計算與存儲分離的設(shè)計理念，滿足公有云計算環(huán)境下用戶業(yè)務(wù)彈性擴(kuò)展的剛性需求。數(shù)據(jù)庫的計算節(jié)點（DB Server）僅存儲元數(shù)據(jù)，而將數(shù)據(jù)文件、Redo Log等存儲于遠(yuǎn)端的存儲節(jié)點（Chunk Server）。各計算節(jié)點之間僅需同步Redo Log相關(guān)的元數(shù)據(jù)信息，極大降低了主實例和只讀實例間的延遲，而且在主實例故障時，只讀實例可以快速切換為主服務(wù)器,由于是分布式存儲，是的I/O不在是瓶頸點，支持上百TB級別數(shù)據(jù)。

　　PS：同開源MYSQL相比，擁有高性能（讀寫分離），阿里云號稱比開源MYSQL性能提高6倍，100%兼容原生態(tài)MYSQL，支持?jǐn)?shù)據(jù)量存儲的同時保證了讀寫性能，主要用戶大數(shù)據(jù)下OLTP類型的等值計算。

　　2、HybridDB

　　設(shè)計思想就是鏈路、計算和存儲分離，實現(xiàn)松耦合分布式架構(gòu)的HTAP數(shù)據(jù)庫云服務(wù)，架構(gòu)圖如下：

　　可以這么來理解，大數(shù)據(jù)下分庫分表的封裝，類似云集現(xiàn)有的訂單sharding庫，只不過阿里云做了更全面的封裝，如面對用戶的只有一個庫，其實內(nèi)部是做了路由的，用戶只要在創(chuàng)建表的時候指定路由規(guī)則即可，后續(xù)操作跟單臺MYSQL完全一樣，不用管路由算法，另外封裝了多庫連表查詢，如where后面跟的是時間區(qū)間，數(shù)據(jù)散落在不同的分片時候，鏈路引擎會將不同節(jié)點的數(shù)據(jù)匯總后呈現(xiàn)給用戶，讓用戶無感知的操作，可以基于一份數(shù)據(jù)OLTP與OLAP混合處理；由于面對用戶的只是個proxy,所以可以做到無縫隙的動態(tài)擴(kuò)容；了解的過程中可以拿POLADB與云集的order Sharding進(jìn)行對比理解。

第一步：領(lǐng)取阿里云優(yōu)惠券：https://www.aliyun.com/

第二步：在代理商云店下單，即可享受優(yōu)惠：https://partner.aliyun.com/shop/1690271921397837

　　PS：雖然封裝完美，但也有自身痛點，總結(jié)一句話叫:上云容易下云難，下云后繼續(xù)使用阿里云的POLADB能頂住，但如果自建MYSQL，數(shù)據(jù)層需要大改，并且自己寫路由規(guī)則。

　　3、RDS使用問題與解決

　　這塊描述下日常使用RDS需要注意的事項：

　　1、高可用切換原理：現(xiàn)將Master置為readOnly,Slave完成binlog同步與數(shù)據(jù)遷移后，Slave成為Master,Master停用，如果RDS前有掛proxy,閃短時間30內(nèi)，若沒掛，閃短時間約為10分鐘左右，閃短期間數(shù)據(jù)庫狀態(tài)為readOnly狀態(tài)。

　　2、設(shè)置 loose_max_statement_time:超時時間指的是SQL的執(zhí)行處理時間，不包含排隊等待時間。

　　3、若出現(xiàn)KILL不掉某種SQL進(jìn)程時候（批量來源），可以使用SQL限流來處理，以免出現(xiàn)一條SQL拖垮整庫的情況。

　　SQL Filter

　　SET GLOBAL sql_select_filter = '+,{CONC},KEY1~KEY2~KEY3.....';e.g.

　　SET GLOBAL sql_select_filter = '+,10,a=1~b=2';作用：

　　對同時包含 a=1 和 b=2 兩個關(guān)鍵字的SQL，限制最高并發(fā)線程為10；注意：一般只對select進(jìn)行限制如慢SQL，競爭鎖等，注意關(guān)鍵字，如where等。

　　PS：阿里云RDS封裝后的功能，原生態(tài)開源MYSQL沒有此功能。

　　4、聯(lián)合索引創(chuàng)建的優(yōu)先順序：如果出現(xiàn)有表需要建立聯(lián)合索引的情況，可以通入如下方式來排列優(yōu)先級方法一：

　　show index from `t_user`  --查看t_user表索引select count(DISTINCT(`user_id`)) /count(*) from t_user；--若等于1，說明user_id建立所以的優(yōu)先級最高select count(DISTINCT(concat(`user_name` ,`user_id`))) /count(*) from t_user； --哪個值越接近1，則優(yōu)先級越高，從左到右排列。

　　方法二：

　　5、count(*) VS count(X)：總結(jié) count(expression)比count(*)和count(column)，如果沒有特殊業(yè)務(wù)含義的話，可以優(yōu)先使用，具體可參考阿里云測試說明https://yq.aliyun.com/articles/379946?spm=a2c4e.11155435.0.0.16813312gMppl06、補天臨時參數(shù)設(shè)置：

　　1、 rds_max_tmp_disk_space：控制 MySQL 能夠使用的臨時文件的大小，適用于一個 SQL 語句就消耗掉整個數(shù)據(jù)庫的磁盤空間；2、tokudb_buffer_pool_ratio：控制 TokuDB 引擎能夠使用的 buffer 內(nèi)存大小，適用于選擇了 tokudb 作為存儲引擎的場景；3、loose_max_statement_time：控制單個 SQL 語句的最長執(zhí)行時間，適用于控制數(shù)據(jù)庫中的慢 SQL 數(shù)量；4、rds_threads_running_high_watermark：控制 MySQL 并發(fā)的查詢數(shù)目，常用于秒殺場景的業(yè)務(wù)；

第一步：領(lǐng)取阿里云優(yōu)惠券：https://www.aliyun.com/

第二步：在代理商云店下單，即可享受優(yōu)惠：https://partner.aliyun.com/shop/1690271921397837