Web Application Firewall(Web Application Firewall,簡稱WAF)安全報表向您展示WAF各個防護模組的防護記錄。您可以使用安全報表查看WAF已防護網域名稱的Web安全、Bot管理、存取控制/限流防護記錄,進行業務安全分析。
前提條件
查看安全報表
WAF執行個體根據所屬地區的不同,在華東1(杭州)和新加坡分別設定了管控平面。其中,中國內地的WAF執行個體將使用華東1(杭州)的管控平面實現管控,非中國內地的WAF執行個體將使用新加坡的管控平面實現管控。
通過安全報表頁面,您可以集中查看已接入防護全量資源的防護資料統計及日誌資訊。我們將基於您購買的不同地區WAF執行個體所對應的管控平面,向您進行圖表和資訊展示 。
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
在安全報表頁面,通過頁簽選擇要查看的報表類型(Web安全、Bot管理、存取控制/限流),查看對應報表。
關於不同報表的具體說明,請分別參見以下內容:
Web安全報表說明
Web安全報表展示了Web入侵防護、防敏感資訊泄露、賬戶安全、主動防禦模組的防護記錄,單擊頁簽可以切換報表。不同模組的報表說明如下:
Web入侵防護:展示WAF阻斷的所有Web應用攻擊,分為攻擊統計分析圖表(位於頁面上半部分)和攻擊事件記錄(位於頁面下半部分)。具體說明如下:
攻擊統計分析圖表包括安全攻擊類型分布、攻擊來源IP TOP5和攻擊來源區域 TOP5。
您可以在攻擊統計分析圖表上方(圖示①地區),設定網域名稱、查詢時間,搜尋某個網域名稱在指定時間範圍內的資料。
攻擊事件記錄展示了Web攻擊的詳細資料,包括攻擊IP、所屬地區、攻擊時間、攻擊類型、攻擊URL、要求方法、請求參數、規則動作、規則ID和攻擊機率。
您可以在攻擊事件記錄表格上方(圖示②地區),使用以下欄位篩選您關注的記錄:防護模組、攻擊類型、攻擊IP、防護規則ID、防護動作。
您可以對攻擊事件記錄執行以下操作:
單擊攻擊事件記錄操作列下的查看詳情,可以查看攻擊詳情。
如果您確認某條攻擊事件記錄是正常業務請求,後續不希望WAF阻斷具有相同特徵的請求,可以單擊攻擊事件記錄操作列下的誤判屏蔽。
該操作將根據當前攻擊事件記錄的特徵,自動產生一條Web入侵防護白名單規則,使WAF後續不對具有相同特徵的請求執行對應的系統規則檢測。在彈出的建立規則對話方塊,您只需為自動產生的規則設定規則名稱,並單擊儲存。
說明極少數情況下,一個請求可能因同時觸發多個防護規則被阻斷,而通過誤判屏蔽產生的白名單規則僅不檢測其中一個防護規則。這時,您可以手動修改白名單規則中的特定規則ID參數,將不需要檢測的其他規則ID添加進來。
成功建立規則後,規則自動啟用。您可以在Web入侵防護-白名單頁面,查詢、編輯、刪除已有規則。相關操作,請參見設定Web入侵防護白名單。
關於Web入侵防護的設定方法,請參見設定規則防護引擎。
防敏感資訊泄露:展示觸發了防敏感資訊泄露規則的Web請求記錄,包括攻擊IP、所屬地區、攻擊時間、攻擊URL、要求方法、請求參數、規則動作、規則ID和攻擊機率。您可以使用網域名稱、查詢時間搜尋某個網域名稱在查詢時間範圍內的資料。
您可以單擊某個記錄操作列下的查看詳情,查看攻擊詳情。
關於防敏感資訊泄露的設定方法,請參見設定防敏感資訊泄露。
賬戶安全:展示在賬戶安全中配置的防護介面上發生的風險事件記錄,包括所屬網域名稱、介面、異常時間段、已攔截量/總請求量和警示原因。您可以使用網域名稱、介面、查詢時間搜尋您關注的記錄。
關於賬戶安全的設定方法,請參見設定賬戶安全。
主動防禦:展示觸發了主動防禦自動產生的防護規則的Web應用攻擊記錄,包括攻擊IP、所屬地區、攻擊時間、攻擊URL、要求方法、規則動作、規則ID和攻擊機率。您可以使用網域名稱、查詢時間搜尋某個網域名稱在查詢時間範圍內的資料。
您可以單擊某個記錄操作列下的查看詳情,查看攻擊詳情。
關於主動防禦的設定方法,請參見設定主動防禦。
Bot管理報表說明
Bot管理報表展示了網站業務的爬蟲請求監控資料和防爬規則的防護效果資料。您需要單擊左上方防護網域名稱列表,選擇要查看的網域名稱,通過指定的查詢時間,搜尋某個網域名稱在查詢時間範圍內的防護效果資料。WAF對每個已配置的防爬情境化規則提供獨立的防護效果報表。
Bot管理報表分為防護效果總覽和情境化防護效果兩部分。防護效果總覽展示了總請求量、Bot識別量和觸發了不同防護規則的爬蟲請求數量的趨勢圖。
Bot識別量:通過多維度流量特徵綜合分析出的機器流量總和,可以輔助判斷當前配置防爬規則的防護效果(如果實際攔截量遠低於識別量,表示防護效果還可以進一步最佳化;如果實際攔截量接近識別量,表示防護效果良好)。
觀察模式命中量:設定為觀察模式的防爬規則命中的請求量。如果將觀察模式改成防護模式,這部分流量將被攔截或挑戰(如滑塊校正)。
實際阻斷量:命中防爬規則中處置動作為攔截模式的請求量。
關於Bot管理的設定方法,請參見以下文檔:
存取控制/限流報表說明
存取控制/限流報表展示觸發了CC安全防護、掃描防護和存取控制規則的Web請求記錄。您可以使用網域名稱、查詢時間搜尋某個網域名稱在查詢時間範圍內的資料。對於您關注的資料,也可以一鍵查詢相關的日誌。
CC安全防護:展示CC防護趨勢,包括總QPS、自訂CC警示、自訂CC攔截、CC系統攔截的數量趨勢,和不同規則類型(包括自訂CC警示、自訂CC攔截、CC系統攔截)的匹配次數。
單擊某個規則類型的匹配次數,將會跳轉到Log Service頁面,並自動輸入與CC安全防護模組相關的日誌查詢語句,方便您進一步查詢相關日誌。更多資訊,請參見日誌查詢。
關於CC安全防護的設定方法,請參見設定CC安全防護。
關於自訂CC防護規則的設定方法,請參見設定自訂防護策略。
掃描防護:展示掃描防護趨勢,包括總QPS、目錄遍曆防護、協同防禦、高頻Web攻擊、掃描工具封鎖的數量趨勢,和不同規則類型(包括目錄遍曆防護、協同防禦、高頻Web攻擊、掃描工具封鎖)的匹配次數。
單擊某個規則類型的匹配次數,將會跳轉到Log Service頁面,並自動輸入與掃描防護模組相關的日誌查詢語句,方便您進一步查詢相關日誌。更多資訊,請參見日誌查詢。
關於掃描防護的設定方法,請參見設定掃描防護。
存取控制展示存取控制趨勢,包括總QPS、ACL存取控制攔截、ACL存取控制警示、黑名單防護的數量趨勢,和自訂規則的匹配次數記錄。
單擊某個自訂規則的規則ID,將會開啟編輯規則對話方塊,支援查看和修改當前自訂規則的配置。更多資訊,請參見自訂規則參數描述。
單擊某個自訂規則的匹配次數,將會跳轉到Log Service頁面,並自動輸入與存取控制模組相關的日誌查詢語句,方便您進一步查詢相關日誌。更多資訊,請參見日誌查詢。
關於存取控制規則的設定方法,請參見設定自訂防護策略。
關於IP黑名單的設定方法,請參見設定IP黑名單。