全部產品
Search
文件中心

Web Application Firewall:資產中心

更新時間:Dec 27, 2024

Web Application Firewall(Web Application Firewall,簡稱WAF)的資產中心功能協助您梳理阿里雲雲上、雲下的網域名稱資產,並根據資產在雲上的攻擊態勢,進行風險等級評估,協助您掌握業務的整體防護狀態。您可以為風險等級較高的網域名稱資產開啟防護,提升整體安全防護水平。

背景資訊

網路應用資產是安全管理體系中最基礎的載體,同時也是業務系統中最基本的組成單元。隨著企業業務的高速發展,各類業務系統平台逐年增多,同時也存在員工私建網站、測試環境未及時回收等情況,導致可能產生大量“殭屍”資產。資訊安全領域存在典型的木桶效應,即安全防護的水位由企業最薄弱的一環決定。由於無人管理,“殭屍”資產往往使用了低版本的開源系統、組件、Web架構等,導致一些薄弱環節暴露在攻擊者的視野下,攻擊者可以利用這些網站作為“跳板”,繞過企業的網路邊界防護,進而使得整個企業內網淪陷。

WAF資產識別功能通過擷取阿里雲網域名稱服務 (DNS)、Alibaba Cloud DNS、SSL認證等服務的配置資訊,結合巨量資料關聯分析能力,協助您主動發現雲上與雲下的網域名稱資產,為您提供全域資產視角,避免在安全防護中出現資產遺漏。同時,資產識別基於阿里雲預設Web攻擊檢測能力,結合威脅情報,為您計算出雲上網域名稱的安全分值,協助您發現被攻擊者關注的網域名稱,並支援為網域名稱開啟防護,避免網域名稱遭受入侵。

說明

資產識別支援檢測的網域名稱資源套件含阿里雲網域名稱和非阿里雲網域名稱,且非阿里雲網域名稱包括解析至非阿里雲伺服器的網域名稱和線下IDC機房使用的網域名稱。

步驟一:訪問資產中心並授權WAF訪問雲資源

  1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地)。

  2. 在左側導覽列,單擊資產中心

  3. 資產中心頁面,單擊立即開啟

    說明

    使用WAF期間,您只需執行一次授權操作。如果您已經授權過,可跳過該步驟。

    • 首次開通資產中心後,阿里雲將自動為您建立WAF服務關聯角色(AliyunServiceRoleForWAF)。您可以登入RAM控制台,查看阿里雲為WAF自動建立的服務關聯角色。具體操作,請參見查看RAM角色

      只有建立服務關聯角色AliyunServiceRoleForWAF後,您的WAF執行個體才能訪問Elastic Compute Service、Server Load Balancer、Alibaba Cloud DNS、CDN、數位憑證管理服務、Log ServiceSLS等關聯雲端服務的資源。

    • 擷取WAF訪問雲資源的授權後,WAF將自動檢測與您的阿里雲帳號相關的網域名稱資產,並在資產中心頁面展示檢測到的網域名稱資產資訊。

      說明

      資產中心支援識別的網域名稱資源套件含阿里雲網域名稱和非阿里雲網域名稱,非阿里雲網域名稱包括解析至非阿里雲伺服器的網域名稱和線下IDC機房使用的網域名稱。

      為了使資產中心的識別結果更準確,WAF預設開啟主動指紋掃描。針對已接入WAF的資產,採用被動流量學習和主動探測的方式識別資產指紋。主動指紋掃描每兩周進行一次,建議您保持開關的開啟狀態。

步驟二:添加資產

如果您關注的主網域名稱資產未在資產列表中,您可以通過添加資產,手動添加主網域名稱。

  1. 資產中心概覽頁簽,單擊資產列表右上方的添加表徵圖。image..png

  2. 添加資產對話方塊,填寫網站網域名稱,並完成網域名稱的歸屬權驗證。

    如果您是首次添加該網域名稱,需要驗證是否擁有該網域名稱的歸屬權。通過後,才能添加網域名稱。具體操作,請參見驗證網域名稱歸屬權

  3. 完成上述配置後,單擊添加

說明

手動添加資產後,資產中心列表會在T+1顯示添加的資產。

步驟三:查看資產

資產中心頁面,查看網域名稱資產的詳細資料。

資產中心

資料類型

說明

相關操作

網域名稱資產資料(圖示①地區)

展示您的阿里雲帳號相關的網域名稱資產資料,包括主網域名稱數、子網域名稱數及較昨日變化數、未防護子網域名稱數(包括未防護高風險網域名稱數、中風險網域名稱數和低風險網域名稱數)。

網域名稱資產詳情(圖示②地區)

WAF將檢測發現的網域名稱資產根據主網域名稱進行彙總展示。每個主網域名稱包含以下資訊:

  • 主網域名稱:網站綁定的主網域名稱。

  • 解析IP:網站伺服器的IP地址、CNAME網域名稱地址。

  • 已防護子網域名稱數:已經接入WAF防護的子網域名稱的數量。

  • 未防護子網域名稱數:未接入WAF防護的子網域名稱的數量,包括對應的高風險、中風險、低風險的子網域名稱數量。

  • 在網域名稱資產列表上方的搜尋方塊,使用網域名稱關鍵字查詢指定主網域名稱。支援模糊查詢。

  • 在網域名稱資產列表,單擊某個主網域名稱左側的展開表徵圖,通過設定配置狀態、風險層級,篩選要子網域名稱。子網域名稱包含以下資訊:

    • 子網域名稱:網站綁定的子網域名稱。

    • 解析IP:網站伺服器的IP地址、CNAME網域名稱地址。

    • 指紋:通過被動流量分析+主動指紋掃描,識別網站伺服器的指紋資訊。

      主動指紋探測開關在您授權資產中心後開啟,您可以通過網域名稱資產列表右上方的開關來修改主動指紋探測的開啟狀態。

    • 雲上威脅等級:雲端式上近30天攻擊趨勢,結合威脅情報資料,評估該網域名稱的雲上風險等級。對於較高風險的網域名稱,建議您儘快將網域名稱接入WAF防護,以免網域名稱資產遭受入侵。

    • 配置狀態:該網站網域名稱是否已接入WAF進行防護。具體包含以下狀態:

      • 未接入:網站網域名稱未接入WAF進行防護。您可以單擊操作列的接入,將該網域名稱接入WAF。具體操作,請參見添加網域名稱

      • 已接入:網站網域名稱已接入WAF進行防護,WAF檢測到網站流量且為網域名稱提供全面防護。

  • 單擊子網域名稱操作列的威脅詳情,查看子網域名稱威脅資訊。

    說明

    僅訂用帳戶企業版或旗艦版的WAF執行個體支援該功能。

步驟四:匯出資產

  1. 資產中心概覽頁簽,選中需要匯出的主網域名稱,並單擊右上方的下載表徵圖,開啟網域名稱資產下載功能。

  2. 資產中心匯出記錄頁簽,單擊下載,下載網域名稱資產文檔。

    您匯出的檔案產生後會暫存在阿里雲上,三天后會自動刪除,請在有效期間內下載查看。

    說明

    主帳號支援下載資產列表,子帳號暫不支援該功能。