本文介紹了Web Application Firewall服務支援的所有網站防護配置功能。
模組 | 功能 | 描述 | 開啟方式 | 相關文檔 |
Web安全 | 規則防護引擎 | 基於內建的專家經驗規則集,自動為網站防禦SQL注入、XSS跨站、WebShell上傳、命令注入、後門隔離、非法檔案請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。 | 接入後自動開啟。 | |
防護規則群組 | 支援自由組合Web Application Firewall的防護規則,形成有針對性的防護規則群組,應用到具體的網站防護。 說明 目前僅支援自訂規則防護引擎的防護規則群組。 | 接入後手動開啟。 | ||
網站防篡改 | 協助您鎖定需要保護的網站頁面(例如敏感頁面),被鎖定的頁面在收到請求時,返回已設定的快取頁面面,預防來源站點頁面內容被惡意篡改。 | 接入後手動開啟。 | ||
防敏感資訊泄露 | 協助網站過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊(例如社會安全號碼、銀行卡號、電話號碼和禁用語),脫敏展示敏感資訊或返回預設異常響應頁面。 | 接入後手動開啟。 | ||
主動防禦 | 採用阿里雲自研的機器學習演算法自主學習網域名稱的合法流量,並自動為網域名稱產生定製化的安全防護策略,防禦未知攻擊。 | 接入後手動開啟。 | ||
Bot管理 | 合法爬蟲 | 提供合法搜尋引擎白名單(例如Google、Bing、百度、搜狗、Yandex等),方便您為網域名稱設定允許存取合法爬蟲的訪問請求。 | 接入後手動開啟。 | |
爬蟲威脅情報 | 雲端式平台強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度爬蟲威脅情報規則,方便您在全網域名稱或指定路徑下設定阻斷惡意爬蟲的訪問請求。 | 接入後手動開啟。 | ||
Alibaba Antifraud Service | 協助您防禦網站關鍵業務(例如註冊、登入、活動、論壇)中可能發生的機器爬蟲欺詐行為。 | 接入後手動開啟。 | ||
App防護 | 專門針對原生App端,提供可信通訊、防機器指令碼濫刷等安全防護,可以有效識別代理、模擬器、非法簽名的請求。 | 接入後手動開啟。 | ||
存取控制/限流 | CC安全防護 | 基於CC流量特徵,協助您防禦針對頁面請求的CC攻擊,並提供不同模式的防護策略。 | 接入後自動開啟。 | |
IP黑名單 | 支援一鍵阻斷來自指定IP地址、IP位址區段以及指定地理地區的IP地址的訪問請求。 | 接入後手動開啟。 | ||
掃描防護 | 協助網站自動阻斷包含指定特徵的訪問請求,例如請求源IP在短期內發起多次Web攻擊或目標遍曆攻擊、請求源IP來自常見掃描工具或阿里雲惡意掃描攻擊IP庫。 | 接入後手動開啟。 | ||
自訂防護策略 | 支援自訂基於精確匹配條件的存取控制規則和訪問頻率限制規則。 | 接入後手動開啟。 | ||
防護實驗室 | 賬戶安全 | 協助您識別與賬戶關聯的業務介面(例如註冊、登入等)上發生的賬戶安全風險事件,包括撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷。 | 接入後手動開啟。 | |
防護白名單 | 網站白名單 | 通過設定網站白名單,可以讓滿足條件的請求不經過任何Web Application Firewall防護模組的檢測,直接存取來源站點伺服器。 | 接入後手動開啟 | |
Web入侵防護白名單 | 通過設定Web入侵防護白名單,可以讓滿足條件的請求忽略指定模組(規則防護引擎)的檢測。 | 接入後手動開啟。 | ||
資料安全白名單 | 通過設定資料安全白名單,可以讓滿足條件的請求忽略指定模組(防敏感資訊泄露、網站防篡改、賬戶安全)的檢測。 | 接入後手動開啟。 | ||
Bot管理白名單 | 通過設定Bot管理白名單,可以讓滿足條件的請求忽略指定模組(爬蟲威脅情報、Alibaba Antifraud Service、智能演算法、App防護)的檢測。 | 接入後手動開啟。 | ||
存取控制/限流白名單 | 通過設定存取控制/限流白名單,可以讓滿足條件的請求忽略指定模組(CC安全防護、IP黑名單、掃描防護、自訂防護策略)的檢測。 | 接入後手動開啟。 |
一鍵關閉WAF防護功能
當您需要臨時關閉WAF防護時,您可以在WAF 2.0控制台的資產中心 > 網站接入中,關閉WAF防護開關。如下圖示。
當開關關閉時,您接入網站的流量會臨時繞行WAF防護引擎,並不再記錄攔截和觀察日誌。在您完成應急測試等需要臨時關閉WAF的操作後,推薦您儘快返回WAF 3.0控制台的防護對象頁面,開啟WAF防護開關,記錄攔截和觀察日誌,減少您資產的暴露風險。若您關閉了WAF防護開關或功能,但配置了API安全防護,相關檢測流程仍將繼續執行。
對於開通隨用隨付版本的使用者,即使通過開關臨時關閉WAF防護,仍會正常收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。Bot管理流量費、風險識別服務及自訂規則的流量計費將暫停。
雲產品接入中,微服務引擎(MSE)與Function Compute(FC)尚不支援一鍵關閉繞過功能。針對混合雲部署,該功能需達到指定版本方可生效。詳情請諮詢您的商務經理,或通過工單提交諮詢,我們的支援小組將為您提供精確的版本要求資訊。