設定賬戶安全 - Web Application Firewall

賬戶安全協助您識別與賬戶關聯的業務介面（例如，註冊、登入等）上發生的賬戶安全風險事件，包括撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷。本文介紹了如何配置賬戶安全檢測規則和查看檢測結果。

前提條件

開啟賬戶安全檢測前，您必須瞭解業務中與賬戶安全有關的介面資訊，以便完成後續配置，例如，網域名稱、提交帳號資訊的URL、具體的帳號或密碼欄位的參數名稱。Web Application Firewall執行個體最多支援為三個介面開啟賬戶安全檢測。

登入Web Application Firewall控制台。
在頂部功能表列，選擇Web Application Firewall執行個體的資源群組和地區（中國內地、非中國內地）。
在左側導覽列，選擇情境防護 > 賬戶安全。
在賬戶安全頁面，單擊建立介面。
如果您是第一次進入賬戶安全頁面，請跳過該步驟。
說明每個WAF執行個體最多可以添加三個檢測介面。如果您已添加過三個介面，則建立介面按鈕不可操作。

完成檢測介面配置，並單擊儲存。建立介面

參數	說明
檢測介面	選擇要檢測的網域名稱並填寫帳號資訊提交介面的URI。檢測介面不是登入介面所在頁面的地址（例如，`/login.html`），而是最終提交登入使用者名稱和密碼資訊的介面地址。說明如果您已開通資產識別，WAF會協助您自動補全已接入網域名稱的全部介面，您可以在這裡直接選擇要檢測的介面。更多資訊，請參見資產識別。
請求方式	選擇介面的請求方式。可選值：POST、GET、PUT、DELETE。
帳號參數名	設定帳號欄位對應的參數名稱。
密碼參數名	設定密碼欄位對應的參數名稱。如果檢測介面無需提交密碼，則無需設定該參數。
防護動作	選擇對檢測發現的賬戶風險請求的處置動作。可選值：預警攔截

賬戶安全介面配置樣本：

情境1：如果使用者登入介面是/login.do，提交的POST請求body中內容範例為username=Jammy&pwd=123456，則帳號參數名是username，密碼參數名是pwd。
情境2：如果登入帳號參數位於GET請求的URL中（例如，/login.do?username=Jammy&pwd=123456），則只需將請求方式設定為GET，其餘設定與情境1一致。
情境3：如果業務介面不要求輸入密碼參數（例如，註冊帳號介面），則只需填寫帳號參數名，無需填寫密碼參數名。
情境4：如果業務介面要求傳入手機號作為使用者憑證，則手機號可以視作帳號參數。例如，/sendsms.do?mobile=1381111****，則檢測介面填寫/sendsms.do，帳號參數名填寫mobile，無需填寫密碼參數名。

成功添加檢測介面後，WAF後台會下發檢測任務。如果被檢測介面的流量命中檢測邏輯，一般幾個小時後就開始產出賬戶安全風險事件。

說明賬戶安全開啟後，所有網站請求預設都會經過賬戶安全規則的檢測。您可以通過設定資料安全白名單，讓滿足條件的請求忽略賬戶安全規則的檢測。更多資訊，請參見設定資料安全白名單。

您可以在賬戶安全頁面單擊目標介面操作列下的查看報表，直接存取介面的賬戶安全報表，或者前往WAF安全報表頁面查看賬戶安全報表。

以下內容介紹了通過安全報表頁面查看賬戶安全報表的操作方法。

在Web安全頁簽下，單擊賬戶安全，選擇要查看的網域名稱、介面、資料範圍（昨天、今天、7天、30天），查看對應的賬戶安全風險事件。

賬戶安全報表的欄位描述見下表。

欄位	說明
介面	檢測到賬戶安全事件的介面URI。
所屬網域名稱	介面所屬網域名稱。
異常時間段	檢測到賬戶安全事件的時間段。
已攔截量	在異常時間段內，介面上發生的所有被當前WAF防護策略攔截的請求的數量。這裡的策略指全部已經生效的防護策略，例如Web攻擊防護規則、精準存取控制、CC攻擊防護、地區封鎖等。這個數字佔總請求量的比值在一定程度上反映了當前介面的賬戶風險防控效果。
總請求量	在異常時間段內，介面上發生的總請求數量。
警示原因	產生警示的依據，目前包括以下幾個維度：命中撞庫或暴力破解的行為模型。該介面在對應時段內的流量基準異常。該介面在對應時段內命中威脅情報庫的量較大。該介面在對應時間內命中了較多弱口令，有暴力破解或撞庫的風險。