华为云服务应用与项目实践实验指导书 8安全防护Opencart电商平台

安全防护Opencart电商平台TIME\@"yyyy-M-d"2026-2-26第页安全防护Opencart电商平台建议学时：4学时实验任务任务描述Opencart作为一款广泛使用的开源电子商务平台，凭借其灵活的扩展性和较低的使用成本，成为中小企业搭建在线商城的首选方案。然而，其开源特性使得系统漏洞更易被攻击者发现和利用，加之电商平台直接处理用户敏感数据和在线交易，使其面临着严峻的安全挑战。目前，该Opencart电商平台主要面临以下几类安全威胁。（1）Web应用攻击。SQL注入、XSS跨站脚本、CSRF等OWASPTop10安全风险，可能导致数据泄露或未授权操作；（2）DDoS攻击。带宽消耗型和连接耗尽型攻击，影响服务可用性和用户体验。（3）服务器暴力破解。针对SSH端口和管理后台的暴力破解尝试，威胁系统权限安全。（4）敏感信息泄露。密钥等敏感数据面临泄露风险。传统防火墙难以有效抵御复杂的应用层攻击和DDoS流量攻击，因此，为全面提升Opencart电商平台的业务连续性、数据安全性及系统稳定性，构建一套多层次、纵深协同的安全防护体系至关重要。为保障商城系统安全稳定运行，本项目基于华为云安全服务体系，构建多层次防护方案，集成WAF、DDoS防护、HSS及DEW，为Opencart电商平台提供从应用、网络、主机到数据层的全方位、高可靠性安全防护解决方案。学习目标完成本任务的学习后，你应当能：掌握VPC的创建与配置方法；掌握安全组规则的配置与应用；掌握ECS实例的创建与生命周期管理；掌握RDS云数据库的创建与配置；掌握DEW数据加密服务的使用，实现密钥创建和磁盘加密；掌握HSS企业主机安全服务的配置，实现主机防护和告警通知；掌握AADDDoS防护服务的配置，实现流量清洗和告警设置；掌握WAFWeb应用防火墙的配置，实现Web应用层攻击防护；具备基于云安全服务构建电商平台多层次安全防护体系的实践经验。任务准备前置知识本实验需要提前学习云计算基础、网络安全基础知识、华为云服务基础知识、Linux操作系统基础、电商平台部署的相关知识。可通过如下途径进行学习：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。网络安全基础知识Web攻击概念：理解SQL注入、XSS跨站脚本、CSRF等常见Web应用攻击的原理和危害。DDoS攻击概念：理解分布式拒绝服务攻击的原理，了解带宽消耗型和连接耗尽型攻击的区别。加密技术概念：理解数据加密的基本原理，了解对称加密和非对称加密的区别。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、RDS、DEW、HSS、AAD、WAF等核心安全服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。控制台操作：掌握华为云控制台的基本操作。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、解压命令（unzip）、下载命令（wget）等常用命令。系统管理：了解软件包管理（dnf/yum）、服务管理（systemctl）等基础系统管理操作，掌握SSH远程连接的配置与使用。电商平台部署知识LAMP架构：理解Linux、Apache、MySQL、PHP四层架构的协同工作原理。Opencart部署：了解Opencart电商平台的系统要求、安装流程和基本配置。实验环境准备本实验需要在华为云平台上搭建完整的基于云安全服务的Opencart电商平台安全防护体系。华为云提供的一站式云计算服务为应用部署和安全防护提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、Opencart商城程序的准备。通过系统性的环境搭建，确保后续的商城部署和安全防护配置能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS准备Opencart商城程序包（可从官网下载）云服务安装软件：实验需要安装的主要软件包包括：Web服务器：ApacheHTTP应用运行时：PHP及相关扩展（php-mysqlnd,php-gd,php-mbstring,php-zip等）数据库：云数据库RDS解压工具：unzip用于解压Opencart程序包任务实施实验要点：DEW密钥与密钥对创建：创建自定义密钥和密钥对，为云服务器提供加密和认证基础。VPC与安全组规划：设计私有网络地址空间并配置业务安全组和数据库安全组，确保云上资源安全隔离。RDS实例创建与数据库初始化：创建RDSMySQL实例并创建Opencart数据库，为商城提供数据存储服务。ECS实例创建与商城部署：创建启用了主机安全和磁盘加密的云服务器，部署Opencart商城并连接RDS数据库。HSS主机防护配置：开启主机安全防护功能，配置告警通知和病毒查杀等防护策略。DDoS防护配置：开启Anti-DDoS流量清洗功能，设置防护策略和告警通知。WAF与ELB联动防护：购买WAF实例，配置ELB负载均衡，将WAF接入ELB实现Web应用层攻击防护。攻击模拟与防护验证：模拟SQL注入攻击，验证WAF防护效果。。关键步骤：任务8.1安全部署Opencart商城服务器（1）创建密钥。①进入华为云控制台，单击“所有服务”—“安全与合规”—“数据加密服务DEW”，在新打开的界面，单击左侧导航栏“密钥管理”菜单，选择“自定义密钥”页签，在页面右上角，单击“创建密钥”按钮，配置信息如表1所示。表1创建自定义密钥的配置信息表配置项配置值名称用户自定义密钥算法AES_256密钥材料来源密钥管理②创建密钥成功，如图1所示。图1创建密钥成功（2）创建密钥对。①数据加密控制台，单击左侧导航栏“密钥对管理”菜单，选择“私有密钥对”页签，单击“创建密钥对”按钮，配置信息如表2所示。表2创建私有密钥对的配置信息表配置项配置值名称用户自定义密钥对类型SSH_RSA_2048我同意将密钥对私钥托管勾选该选项KMS加密列表选择—自定义密钥—选择密钥②创建成功，结果如图2所示。图2创建密钥对成功（3）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台选择“华南—香港”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表3所示。表3VPC的配置信息表配置项配置值区域中国-香港名称vpc-opencartIPV4网段/16子网名称subnet-web子网IPV4网段/24②创建成功后，操作结果如图3所示。图3成功创建VPC（4）创建业务安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表4所示。表4安全组配置信息表配置项配置值区域中国-香港名称sg-web②根据业务需求，在入方向规则快速添加规则，配置信息如图4所示。图4配置安全组规则③创建成功后，操作结果如图5所示。图5成功创建安全组（5）创建数据库安全组。①数据库安全组只放行3306端口，而且只能从Subnet-web（/24）访问，配置如图6所示。图6配置数据库安全规则②创建成功，如图7所示。图7创建数据库安全组（6）根据业务需求，创建RDS实例。①进入华为云控制台，选择“所有服务”—“数据库”—“云数据库RDS”，单击“云数据库RDS”按钮，在新打开的界面，单击“购买”按钮，购买云数据库RDS，配置信息如表5所示。表5RDS配置信息表配置项配置值区域中国-香港计算模式按需计费数据库引擎MySQL数据库版本8.0实例类型主备存储类型SSD云盘主备可用区自定义性能规格独享型存储空间自定义实例名称自定义密码符合密码复杂性要求虚拟私有云vpc-opencart数据库端口3306安全组sg-rds其他选项默认或根据需求选择。②创建成功后，如图8所示。图8成功创建RDS图9查看实例的基本内容图9查看实例的基本内容④创建数据库。在RDS云数据库列表，单击右侧“登录”按钮，在弹出的对话框里，输入正确用户名和密码后，进行测试连接，如果信息无误，会显示连接成功，再勾选“记住密码选项”，单击“登录”按钮，在新打开的界面，单击“新建数据库”按钮，在弹出的对话框中，填写数据库名称“opencart”，其他默认，创建成功，如图10所示。图10购买RDS（7）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表6所示。表6弹性云服务器配置信息表配置项配置值计算模式按需计费区域中国-香港可用区随机分配CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)开启主机安全防护企业版系统盘超高IO40G启用加密选择密钥进行对数据盘进行加密虚拟私有云vpc-opencart安全组sg-web弹生公网IP需要购买，参数自定义云服务器名称ecs-opencart登录凭证密钥对方式数量1②购买成功后，操作结果如图11所示。图11成功购买ECS（8）部署OPENCART商城。①远程登录弹性云服务器，通过以下命令安装Apache，安装成功后启动服务，如图12所示。dnfinstall-yhttpdsystemctlstarthttpdsystemctlenablehttpd图12安装Apache②安装PHP，安装成功后启动服务，如图13所示。dnfinstall-yphpphp-mysqlndphp-fpmphp-cliphp-gdphp-curlphp-mbstringphp-zipsystemctlstartphp-fpmsystemctlenablephp-fpm图13安装PHP③通过以下命令，下载opencart软件并进行解压，结果如图14所示。wget/download/16unzip16④通过以下命令拷贝Opencart文件到Apache的工作目录“/var/www/html”，并进行授权，结果如图15所示。cp-rupload/*/var/www/html/chmod-R777/var/www/html/*systemctlrestarthttpdphp-fpm图14下载与解压opencart软件图15授权/var/www/html/目录⑤打开浏览器，在地址栏处输入：http://ecs-opencart的EIP，结果如图16所示。⑥单击“Continue”按钮，检查配置信息，状态如果显示正常，则继续单击“Continue”按钮，结果如图17所示。图16安装Opencart图17安装opencart检查配置⑦在新打开的页面，填写数据库的连接信息，包括数据库名、数据库用户名、密码、数据库主机IP地址，以及填写登录Opencart的用户个人信息，结果如图18所示。图18配置数据库的连接信息⑧确图19成功部署Opencart商城（9）为Opencart服务器开启HSS主机防护功能。①进入华为云控制台，单击“所有服务”—“安全与合规”—“企业主机安全HSS”，在新打开的界面，单击“资产管理”-“主机管理”，结果如图20所示，说明成功防护Opencart服务器。图20成功防护Opencart服务器②在华为云控制台，单击“所有服务”—“管理与监控”—“消息通知服务SMN”，在新打开的界面，单击“主题管理”—“创建主题”，主题名称为“opencart”，并以短信方式请求订阅，终端通过单击链接进行确认订阅，成功订阅如图21所示。图21成功订阅③在主机安全HSS界面，单击“安装与配置”—“告警配置”菜单，开启“每日告警通知”和“实时告警通知”，告警等级全选，屏蔽事件为“登录成功和未安装Agent”，选择告警方式为“消息主题”，并选择消息主题，配置如图22所示。图22告警配置④用户可以根据业务需求，配置相应的主机防护，包括应用防护、病毒查杀等，如图23所示。图23配置主机防护任务8.2防护攻击Opencart商城服务器（1）开启Anti-DDoS防护。①进入华为云控制台，单击“所有服务”—“安全与合规”—“DDoS防护AAD”，在新打开的界面左侧导航，单击“DDOS原生基础防护”—“Anti-DDoS流量清洗”—“公网IP”—“设置默认防护策略”按钮，用户根据实际情况手动设置流量清洗阈值，配置如图24所示。图24Anti-DDoS流量清洗②单击页签“告警通知”，用户根据实际情况设置清洗流量告警阈值和开启SMN告警通知，并选择已存在的消息通知主题，配置如图25所示。图25设置告警通知（2）购买WAF实例。①进入华为云控制台，单击“所有服务”—“安全与合规”—“Web应用防火墙WAF”，在新打开的界面，单击“购买WAF实例”，进行购买WEB应用防火墙的配置，自定义配置信息如表7所示。表7购买WAF实例配置信息表配置项配置值WAF模式独享模式计费模式按需计费区域中国-香港通用可用区可用区2规格选择WI-100WAF实例创建类别资源租户类CPU架构X86计算ECS规格自行选择虚拟私有云vpc-opencart子网subnet-web安全组sg-web购买数量1②确认信息无误后，单击“立刻购买”按钮，购买成功，如图26所示。图26成功购买WAF实例（3）配置防护网站。①在Web应用防火墙左侧菜单栏，选择“网站设置”，单击“添加防护网站”按钮，配置信息如表8所示。表8添加防护网站配置信息表配置项配置值连接接入模式独享模式接入防护对象Opencart服务器的公网IP网站名称Opencart防护端口标准端口对外协议HTTP源站协议HTTPVPCVpc-opencart源站地址IPV4内网IP地址Opencart服务器的私有IP源站端口80已使用七层代理否防护策略系统自动生成策略②确认信息无误后，单击“确定”按钮，需要配置负载均衡，选择“稍后”按钮，结果如图27所示，说明成功添加防护网站。图27成功添加防护网站（4）配置配置负载均衡。①解绑opencart的弹性公网IP，进入华为云控制台，选择“所有服务”—“网络”—“弹性负载均衡ELB”，在新打开的界面右上角，单击“购买弹性负载均衡”按钮，进行购买弹性负载均衡配置，配置信息如表9所示。表9ELB配置信息表配置项配置值实例类型独享型计算模式按需计费区域中国-香港可用区可选择多个可用区名称Elb-opencart实例规格固定规格（应用型HTTP/HTTPS）网络类型IPV4私网所属VPCVpc-opencart前端子网Subnet-opencartIPV4地址自动分配IP地址后端子网与前端子网保持一致弹生公网IP使用已有（选择服务器释放的EIP）数量1②单击“确定”按钮，结果如图28所示，说明成功购买ELB。图28成功购买ELB③在负载均衡器列表，在elb-opencart所在行，单击“添加监听器”按钮，进行配置监听器，前端协议选择“HTTP”，监听端口为“单端口监听”，端口设置输入“80”端口，其他采用默认配置，配置如图29所示。④单击“下一步：配置后端分配策略”按钮，进行配置后端分配策略，新建后端服务器组，名称自定义，后端协议为“HTTP”，其他选项可采用默认配置，配置如图30所示。图29配置监听器图30配置后端分配策略⑤单击“下一步：添加后端服务器”按钮，进行添加后端服务器配置，配置健康检查协议为“TCP”，其他采用默认配置，配置如图31所示。图31配置健康检查⑥单击“下一步：确认配置”按钮，确认信息，如果检查无误，单击“提交”按钮，结果如图32所示，说明成功添加监听器。图32成功添加监听器⑦返回Web应用防火墙WAF页面，单击“系统管理”--“独享引擎”菜单，选择已经创建好的WAF引擎，在页面右侧选择“更多”--“添加到ELB”，选择已经配置好的ELB，监听器，后端服务器组，配置如图33所示。图33配置添加到ELB⑧设置ELB业务端口为80，权重可采用默认值，配置如图34所示。图34设置端口和权重⑨单击“确定”按钮，刷新网站，需要等待一段时间，独享引擎接入状态为“已接入”，说明成功实现防护服务器，结果如图35所示。图35成功防护服务器4．发起SQL注入攻击在浏览器中，输入http://服务器的EIP，访问opencart商城，并在后面添加字符“?id='or1=1”，并按“Enter”键，结果如图36所示。图36发起SQL注入攻击5．查看防护事件在Web应用防火墙左侧菜