电商网站业务安全

1电商网站业务安全最佳实践 业务架构图 场景描述 业务运营活动是电商行业开展业务必不可少的 手段，但大流量带来的系统可用性、优惠券带来 的“薅羊毛”等问题屡见不鲜，都会影响到运营 效果、甚至出现负面影响。阿里云基于集团电商 业务多年的运营经验，为云上客户提供完整的电 CADT部署架构图： 商网站运营期间的防护方案。 解决问题 1. 保障业务运维活动系统稳定运行 2. 防止“薅羊毛” 3. 运营优惠给到真实的客户 产品列表  Web应用防火墙  风险识别  DDoS防护包  RDSMySQL版  负载均衡SLB  云服务器ECS  云速搭CADT

2企业上云实践 电商网站业务安全最佳实践 | 文档版本信息 阿里云 企业上云实践 电商网站业务安全最佳实践 文档版本：20210806（发布日期） 文档版本：20210806 2

3企业上云实践 电商网站业务安全最佳实践 | 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 电商网站业务安全最佳实践 文档编号 065 文档版本 V1.6 版本日期 2021-08-06 文档状态 外部发布 制作人 敬海 审阅人 连辙 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-06-12 云滴 - 创建 V1.1 2019-07-16 筱晖 连辙 文档工程师优化、验证 V1.2 2019-08-13 云滴 敬海 隐式超链接显式化 V1.3 2019-11-06 筱晖 - 新版控制台迭代 V1.4 2019-12-29 云滴 - 增加概览页和作者二维码 V1.5 2020-06-30 敬海 - 修改magento镜像和slb 页面 V1.6 2021-08-06 敬海 - 更新CADT部分和WAF部 分以及=爬虫风险管理部分 文档版本：20210806 I

4企业上云实践 电商网站业务安全最佳实践 | 前言 前言 概述 本文重点提供电商网站业务方面的最佳实践，包括用户注册、业务运营活动等场景的 业务层面的安全，涉及需要开通的相关产品、产品规格配置及安全防护效果的说明。 应用范围  如果是网站部署在阿里云上，本方案中涉及到的安全产品都可以用。  如果网站是部署在IDC或其他云上，本方案中涉及到的DDoS防护包不可用，其 他产品都可用。 名词解释  VPC：VirtualPrivateCloud，简称VPC。基于阿里云创建的自定义私有网络, 不 同的专有网络之间二层逻辑隔离，可以在自己创建的专有网络内创建和管理云产 品实例，比如ECS、负载均衡、RDS等。在创建前，您需要结合具体业务，规划 VPC和交换机的数量及网段等。  SLB：ServerLoadBalancer，简称SLB。多台云服务器进行流量分发的负载均衡 服务，可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升 应用系统的可用性。  ECS：ElasticComputeService，简称ECS。是阿里云提供的一种基础云计算服 务。无需提前采购硬件设备，根据业务需要，随时创建所需数量的云服务器ECS 实例。在使用过程中，随着业务的扩展，可以随时扩容磁盘、增加带宽。也能随 时释放资源，节省费用。  RDS：RelationalDatabaseService，简称RDS，是一种稳定可靠、可弹性伸缩 的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储，RDS支 持MySQL、SQLServer、PostgreSQL、PPAS和MariaDB引擎，提供了容灾、 备份、恢复、监控、迁移等方面的全套解决方案，彻底解决数据库运维的烦恼。  Web应用防火墙：阿里云Web应用防火墙基于云安全大数据能力，有效防御各类 OWASP常见Web攻击并过滤海量恶意CC攻击，避免您的网站资产数据泄露， 保障网站业务安全性与可用性。详见：https://help.aliyun.com/product/28515.html  DDoS防护：DDoS防护包是一款针对云上ECS、SLB、Web应用防火墙、EIP 等云产品直接提升防御能力的安全产品。相比于DDoS高防IP来说，DDoS防护 文档版本：20210806 III

5企业上云实践 电商网站业务安全最佳实践 | 前言 包主要的好处是可以直接把防御能力加载到云产品上，不需要更换IP，也没有四 层端口、七层域名数等限制。同时，DDoS防护包的购买和部署过程也非常的简 单，购买后只需要绑定需要防护的云产品的IP地址即可使用，只需几分钟即可生 效。  风险识别：阿里巴巴十余年业务风险管控最佳实践。基于大数据、流式计算、机 器学习算法，为客户提供决策引擎平台、风险识别API、专家定制建模等多维风 控服务，一站式解决企业在用户注册、运营活动、交易、信贷审核等关键业务中 所遇到的欺诈问题。 文档版本：20210806 IV

6企业上云实践 电商网站业务安全最佳实践 | 云上资源规划 云上资源规划  为了便于演示，在本文中涉及到开通资源时，均默认通过按量付费模式开通。  为简化本机远程操作流程，本方案中在购买部分服务器时勾选分配公网IP地址选项做为 临时访问方式，实际业务场景建议您使用堡垒机、VPN等方式操作，保障云上系统安全。  若有数据迁移相关需求，请参考其他搬站和数据迁移相关方案。  本最佳实践中使用的脚本可以使用 https://code.aliyun.com/best-practice/065.git进行下 载。  注意：  本实践需要提前准备一个备案的域名，本文以magento.lustre.site为例。  要使用风险识别的按量付费，还需要账号通过企业实名认证。 文档版本：20210806 V

7企业上云实践 电商网站业务安全最佳实践 | 目录 目录 文档版本信息..................................................................................................................................................................I ......................................................................................................................................................................... 法律声明 II 前言................................................................................................................................................................................III ................................................................................................................................................................ 云上资源规划 V 目录...............................................................................................................................................................................VI 1.搭建电商网站DEMO..............................................................................................................................................1 ............................................................................................................................................ 1.1.开通产品及服务 1 1.2.利用CADT构建基础环境...........................................................................................................................2 .................................................................................................................................................... 1.3.创建数据库 8 1.4.域名解析配置................................................................................................................................................9 1.5.电商网站初始化.........................................................................................................................................12 ...................................................................................................................... 1.5.1.电商应用环境初始化 12 1.5.2.电商应用商品发布..........................................................................................................................17 .................................................................................................................................. 1.5.3.访问电商主页 26 2.Web应用防火墙配置............................................................................................................................................28 2.1.接入Web应用防火墙...............................................................................................................................28 ........................................................................... 2.2.通过负载均衡SLB的白名单放行WAF回源IP地址 31 2.3.在域名服务中配置域名解析.....................................................................................................................37 .................................................................................................................... 2.4.验证SLB白名单配置生效。 39 2.5.开通爬虫管理功能.....................................................................................................................................40 2.6.场景化配置爬虫规则.................................................................................................................................42 .............................................................................................................................................. 2.7.放行合法爬虫 51 2.8.阻断来自威胁情报地址的请求.................................................................................................................52 .......................................................................................................................... 2.8.1.配置爬虫威胁情报 52 2.8.2.验证来自阿里云请求拒绝..............................................................................................................55 3.开通DDoS防护包（可选）................................................................................................................................57 ..................................................................................................................................... 3.1.购买DDoS防护包 57 3.2.添加防护对象..............................................................................................................................................60 ......................................................................................................................................... 3.3.购买抗D流量包 63 3.4.防护演练......................................................................................................................................................65 4.开通风险识别服务.................................................................................................................................................66 ..................................................................................................................................... 4.1.开通风险识别服务 66 4.2.环境准备......................................................................................................................................................67 ..................................................................................................................................... 4.3.注册风险识别示例 69 4.4.业务营销活动风险识别示例.....................................................................................................................71 4.5.查看调用统计..............................................................................................................................................72 文档版本：20210806 VI

8企业上云实践 电商网站业务安全最佳实践 | 搭建电商网站DEMO 1.搭建电商网站DEMO 本章介绍如何开通产品及服务，并利用云速搭cadt快速部署整个业务系统。进行本章之前， 需要准备一个已经通过管局认证的域名，这里准备的是magento.lustre.site的域名。 1.1.开通产品及服务 步骤1 登录阿里云官网（www.aliyun.com），单击右上角的控制台。 步骤2 单击左上角的图标。 步骤3 在弹出的页面中，输入产品名称，如ECS，单击对应的链接。 文档版本：20210806 1