HCIP认证动手实践-安全架构设计实验（5）

实验概览

包括本次实验内容介绍、实验目的、软件介绍。

使用云服务：ECS、HSS、WAF、DEW、SMN，通过DVWA主机部署、主机安全、双因子认证、主机安全组、IP地址组、Web应用防火墙、DEW托管密钥共7个部分完成本次安全架构实验。

软件：一套DVWA（Damn Vulnerable Web Application）软件，该软件是PHP+MySQL编写的一套用于常规Web漏洞教学工具。

一套XAMPP软件，是一个易于安装切包含MySQL、PHP和Perl的Apache发行版，目的是让没有任务web服务器安装、配置经验的人员也可以快速搭建一个web服务器。

KooCLI：华为云命令行工具，是为发布在API Explorer上的华为云服务API提供的命令行管理工具。

一条基础安全知识：XSS攻击。

关键步骤

1、一台虚拟机

通过ECS服务购买，ecs-dvwa，用于安装DVWA软件，为后续实验顺利进行，绑定的安全组需要放通22、443、80和8080端口，以及ICMP协议。

2、安装配置运行DVWA软件

创建完成后，开始安装dvwa软件，安装docker，使用docker安装dvwa软件，`docker pull docker.io/citizenstig/dvwa`，通过`docker run -dit -p 8080:80 docker.io/citizenstig/dvwa`命令运行dvwa挼进件。

在本地浏览器通过“https://xxx(ecs-dvwa主机的EIP地址):8080”访问DVWA的web页面，点击create/reset database按钮进行初始化。

3、下载安装XAMPP软件

下载并安装，运行时会进入交互式命令行，按照如下进行：

在本地浏览器通过“https://xxx(ecs-dvwa主机的EIP地址)”访问XAMPP的web页面，可正常访问说明安装成功。

4、主机安全

在服务列表中选择“企业主机安全HSS”，购买主机安全。

主机安全可以通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验、安全运营、网页防篡改等功能全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为。

购买企业版后，在ecs-dvwa服务器上绑定，可以在HSS的页面的“主机管理”，“企业版服务器”查看风险状态和防护状态：

5、双因子认证（术语很吓人，简单说就是除了密码，增加了一个短信验证码，即双因子）

在实际工作中，一些业务主机或运维主机对接入安全的要求较高，仅通过用户名密码做认证鉴权不够安全，此时可以通过配置双因子认证来满足主机登录多维度鉴权的需求。

通过SMN消息通知服务，创建主题Auth，并添加订阅，订阅终端：个人手机号。在手机短信中点击连接确认订阅。

在企业主机安全页面中，点击“安装与配置”页签，选择“双因子认证-开启双因子认证”，点击“开启双因子认证”，绑定刚刚创建的SMN主题：

6、安全组（严格控制端口号）

放通端口规则则可访问，删除端口规则则不能访问，起到严格控制端口号的访问控制功能。

7、IP地址组（严格控制IP地址）

在对主机进行访问控制时，如果涉及对多个 IP 配置相同的安全组策略，可以通过配置 IP 地址组的方式来满足此需求。 

创建一台ecs-test，确保可以访问ecs-dvwa主机。ecs-test用于在本次实验中作为连通性测试、验证主机，不参与应用部署。

安全组中配置规则，入方向的规则可以选择IP地址组，则只有加入到IP地址组的IP地址才能有访问权限。不在IP地址组的主机则无法访问。

8、Web应用防火墙

Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

使用DVWA进行攻击测试，进入DVWA页面，选择“XSS（Reflected）”选项，输入`"> </input><script>alret(1746)</script><input>`，点击“submit”，看到页面中有如下回显，证明模拟攻击成功。

购买WAF服务。本实验中需要使用该 WAF 实例进行 XSS 攻击防护，阻断上一步骤中的攻击。

这个服务还比较贵，没有按需，最便宜的“入门版”也需要99￥。（需要提交工单开通独享 WAF，再进行购买，实验手册中的示例步骤中可以看到按需计费模式）

创建防护策略，sec-test，在“防护配置”中奖防护模式修改为“拦截”。

在“网站设置”中添加防护网站，选择防护策略为上一步创建的sec-test。

创建WAF负载均衡器，在云主机列表界面将DVWA云主机的EIP地址解除绑定。后续需要将该EIP绑定到负载均衡器中。

创建负载均衡器，elb-waf，完成后“点我开始配置”，新创建后端服务器组，server-group-waf，添加云服务器，将之前创建的独享WAF实例加入后端服务器。

重新进行XSS攻击测试，查看当前已防御了一次攻击。在Web应用防火墙的“安全总览”中可以查看当前防护事件，可以查看到防护域名为DVWA云主机EIP的事件条目。

证明通过以上Web应用防火墙的配置，成功阻断了我们进行的模拟XSS攻击。通过本小节内容我们验证了Web应用防火墙的使用原理。

9、DEW托管密钥

在“我的凭证”中获取ak/sk，后续KooCLI初始化中需要使用到。

创建凭据，该凭据托管在DEW中，后续需要被ECS服务通过KooCLI客户端获取。

创建委托，需要通过该委托，赋予ECS服务相应权限，使得其可以通过KooCLI获取DEW中托管的密钥。

KooCLI安装，创建一台云主机ecs-koo，如果前面创建的ecs还未释放，可以复用。

该实验证明通过以上配置，ECS服务可以通过KooCLI客户端获取托管在DEW中的密钥信息。

使用云服务：ECS、HSS、WAF、DEW、SMN，通过DVWA主机部署、主机安全、双因子认证、主机安全组、IP地址组、Web应用防火墙、DEW托管密钥共7大部分完成本次安全架构实验。

HCIP主页： https://edu.huaweicloud.com/training/csssa.html?ticket=ST-83206975-oYwb2Xebob5atv4p4BcV0tPc-sso

在线实验手册：https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/%E4%BA%91%E5%AD%A6%E9%99%A2/Materials%20for%20certification/HCIP-CloudServiceSolutionsArchitectV3.0LabGuide20220901.pdf