網站接入Web Application Firewall防護後,您可以為網站開啟主動防禦功能。主動防禦採用阿里雲自研的機器學習演算法,自主學習網站網域名稱的合法流量,並自動為網站產生定製化的安全防護策略,防禦未知攻擊。
前提條件
已開通Web Application Firewall執行個體,且執行個體版本是旗艦版及以上規格。
已完成網站接入。具體操作,請參見使用教程。
背景資訊
傳統的Web攻擊防護基於安全檢測規則。主動防禦通過無監督學習的方式,對網域名稱的訪問流量進行深度學習,並根據機器學習演算法模型為不同訪問請求打分,標記正常分值。在請求分值的基礎上,主動防禦能夠定義網域名稱的正常訪問流量基準,並基於此產生定製化的安全性原則。通過將流量分層的方式,結合主動防禦與Web Application Firewall的其他安全檢測體系,為網域名稱提供更加全面的攻擊防護。
操作步驟
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
在網站防護頁面上方,切換到要設定的網域名稱。
單擊Web安全頁簽,定位到主動防禦地區,完成以下功能配置。
參數
說明
狀態
開啟或關閉主動防禦功能。
模式
檢測發現攻擊請求時,對攻擊請求執行的操作。可選值:
警示:只觸發警示,不阻斷攻擊請求。
攔截:直接阻斷攻擊請求。
說明預設情況下,主動防禦採用警示模式。所有主動防禦安全規則僅將命中規則的請求上報至安全報表,並不會進行攔截。建議您通過安全報表觀察一段時間,確認主動防禦的安全規則沒有出現誤攔截的情況後,再切換到攔截模式。
網站網域名稱首次開啟主動防禦後,WAF將自動使用機器學習演算法模型對網域名稱的歷史流量進行深度學習,並基於學習結果為該網域名稱產生定製化的安全性原則。機器學習演算法模型的首次學習時間長度與網域名稱的歷史流量大小有關,通常需要大約一小時完成首次學習並產生安全性原則。學習完成後,您將收到站內信、簡訊、郵件通知。
重要主動防禦的學習程式是一次性的,如果您手動關閉主動防禦後再重新開啟,則WAF會重新執行一遍學習程式。WAF產品版本升級不會對已有學習結果產生影響,該情形無需重新執行學習程式;但是,如果接入WAF防護的業務形態發生變化(例如,網域名稱上的業務類型變更等),則已有學習結果將不再適用,建議您重新執行一遍學習程式。