本文介紹了Web Application Firewall(Web Application Firewall,簡稱WAF)服務防護配置的相關術語、配置流程、防護模組概覽及典型配置案例。
防護配置流程
Web業務接入WAF防護後,您可以參照以下步驟,為Web業務配置 防護規則 。不同接入方式下的防護配置流程略有差異。
步驟 | 雲產品接入 | CNAME接入 |
1. 添加 防護對象 。 | 完成雲產品接入的雲產品執行個體已被自動添加為WAF的防護對象。 如需為執行個體中的網域名稱配置獨立的防護規則(例如,執行個體中有多個網域名稱,不同網域名稱需要配置不同的防護規則),必須手動將網域名稱添加為WAF的防護對象。具體操作,請參見配置防護對象和防護對象組。 | 無需執行。 完成CNAME接入的網域名稱已被自動添加為WAF的防護對象。 |
2. (可選)將防護對象加入 防護對象組 。 | 如需為多個防護對象配置同樣的防護規則,可以將多個對象加入到一個防護對象組(簡稱對象組),然後為對象組配置防護規則。對象組的防護規則對組內所有對象生效。 使用對象組時,必須先建立一個對象組並為對象組關聯防護對象。具體操作,請參見建立防護對象組。 | |
3. 定義規則模板。 | 如需啟用某個 防護模組 ,則防護模組下必須先有規則模板,然後您可將規則模板應用到指定的防護對象或對象組。 Web核心防護規則和白名單模組已內建預設規則模板,無需您手動建立規則模板;如需啟用其他防護模組,則必須先手動建立規則模板。更多資訊,請參見防護模組概覽。 您可以定義多套規則模板,為不同防護對象應用不同的防護規則。更多資訊,請參見多套規則模板應用樣本。 | |
4. 管理防護規則。 | 您可以在不同防護模組下的規則模板中管理具體的防護規則,例如啟用或禁用規則、新增規則等。規則模板中發生的規則變動將直接應用到該規則模板的生效對象。 不同規則模板支援的規則操作不完全相同。更多資訊,請參見防護模組概覽。 |
防護模組概覽
下表描述了WAF支援的所有防護模組,以及不同防護模組的預設配置。
防護模組 | 說明 | 預設規則模板 | 配置建議 |
基於阿里雲安全內建的 防護規則集 ,協助Web業務防禦SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。 | 內建一套預設規則模板(包含WAF的Web核心防護規則集)。規則模板預設啟用,且採用攔截模式。 重要 新接入WAF防護的對象預設受到Web核心防護規則的防護,Web核心防護規則會自動攔截攻擊請求。 | 建議保持預設配置。 業務接入WAF防護一段時間後,如果您發現Web核心防護規則集存在誤攔截,可以通過設定白名單規則,屏蔽產生誤攔截的Web核心防護規則。相關操作,請參見設定白名單規則允許存取特定請求。 | |
說明 防護規則群組功能已升級迭代為引擎配置功能詳見【公告】。 | 支援預設規則群組和自訂規則組。您可以根據業務需要,將規則群組關聯到Web核心防護規則模板,協助網站防禦各種常見的Web應用攻擊。 | 內建一套預設規則群組。 | 如需啟用自訂規則組,必須建立一個規則群組模板,並配置相關規則。 |
白名單模組允許您根據業務情境,自訂允許存取具有指定特徵的請求,使請求不經過全部或特定防護模組的檢測。 | 內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。 | 如需允許存取具有指定特徵的業務請求流量,可以在預設規則模板下建立白名單規則。 | |
基於內建的通用CC防護演算法,緩解產品規格內的高頻請求(HTTP Flood)攻擊。您也可以通過自訂規則中的頻率限制進行更加靈活的自訂CC防護。 | 內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。 說明 僅訂用帳戶進階版、訂用帳戶企業版及訂用帳戶旗艦版包含預設開啟的預設規則模板。 | 如需啟用自訂規則,必須建立一個規則模板,並配置相關規則。 | |
掃描防護模組通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量。 | 內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。 說明 僅訂用帳戶進階版、訂用帳戶企業版及訂用帳戶旗艦版包含預設開啟的預設規則模板。 | 如需啟用自訂規則,必須建立一個規則模板,並配置相關規則。 | |
IP黑名單模組允許您根據業務情境,自訂攔截來自特定IP地址(IPv4或IPv6地址)或位址區段的請求。 | 不提供預設規則模板,當前防護模組預設未啟用。 | 如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。 | |
自訂規則模組允許您基於自訂的HTTP請求特徵或特徵組合,對合格請求執行攔截、驗證、記錄日誌等處置。 您也可以選擇限速模式,將訪問超出一定頻率的統計對象(例如IP、會話)加入黑名單,在黑名單有效期間內對統計對象執行相應處置。 | |||
自訂響應模組允許您自訂用戶端請求被WAF攔截時,WAF返回給用戶端的攔截頁面的樣式和內容,包含響應碼、回應標頭、響應體。 | |||
一鍵封鎖來自特定地區的用戶端IP。 | |||
協助您鎖定需要保護的網站頁面,被鎖定的頁面在收到請求時,返回已設定的快取頁面面。 | |||
協助您過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊,如社會安全號碼、銀行卡號、電話號碼和禁用語等,進行脫敏顯示。 | |||
基於四/七層流量指紋識別Bot流量,一鍵開啟防護。 | |||
基於用戶端、流量、行為和情報等多維度特徵識別機器(Bot)流量,允許存取搜尋引擎等好的Bot,緩解惡意Bot帶來的頻寬增加、資料爬取、垃圾註冊/下單/投票、介面濫刷等風險。 | |||
支援特定時間段的重大活動安全保障,為您提供更加精準和定製化的防禦模式。 | 不提供預設規則模板,當前防護模組預設未啟用。 | 如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。 | |
支援自動梳理已接入WAF防護的業務的API資產,檢測API風險(例如未授權訪問、敏感性資料過度暴露、內部介面泄露等),並通過報表還原API例外狀況事件,提供詳細的風險處理建議和API生命週期管理參考資料。 | 不涉及。 | ||
支援使用QPS限流或者百分比限流的方式嚴格控制進入伺服器的請求數量,並能篩選訪問來源地區的流量。 | 不提供預設規則模板,當前防護模組預設未啟用。 | 如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。 |
不同WAF版本支援的防護功能存在差異,例如洪峰限流功能只能在訂用帳戶進階版及以上的版本中開通,更多功能差異資訊請參考版本說明。
一鍵關閉WAF防護功能
當您需要臨時關閉WAF防護時,您可以在WAF 3.0控制台的防護對象頁面中,關閉WAF防護開關。如下圖所示。
當開關關閉時,您接入網站的流量會臨時繞行WAF防護引擎,並不再記錄攔截和觀察日誌。在您完成應急測試等需要臨時關閉WAF的操作後,推薦您儘快返回WAF 3.0控制台的防護對象頁面,開啟WAF防護開關,記錄攔截和觀察日誌,減少您資產的暴露風險。若您關閉了WAF防護開關或功能,但配置了API安全防護,相關檢測流程仍將繼續執行。
對於開通隨用隨付版本的使用者,即使通過開關臨時關閉WAF防護,仍會正常收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。Bot管理流量費、風險識別服務及自訂規則的流量計費將暫停。
雲產品接入中,微服務引擎(MSE)與Function Compute(FC)尚不支援一鍵關閉繞過功能。針對混合雲部署,該功能需達到指定版本方可生效。詳情請諮詢您的商務經理,或通過工單提交諮詢,我們的支援小組將為您提供精確的版本要求資訊。
多套規則模板應用樣本
在一個防護模組下定義多套規則模板,可以實現為不同防護對象配置不同的防護規則,滿足多樣化的業務防護需求。
以Web核心防護規則模組為例:該模組內建了一套預設規則模板(規則動作為攔截),直接應用於所有新接入WAF防護的對象。如果WAF檢測到防護對象上的攻擊請求,將會攔截攻擊請求。
如果您希望對後續新接入WAF防護的對象採用觀察模式(不攔截攻擊請求,只記錄請求命中了規則),只對已接入WAF防護的業務採用攔截模式,則可以按以下方式配置。
將預設規則模板的規則動作設定為觀察。
建立一個 基礎防護規則模板 ,將該模板的規則動作設定為攔截,並將生效對象設定為已接入WAF防護的所有防護對象。
完成以上配置後,新接入WAF防護的對象預設採用觀察模式,您可以在確認WAF無誤攔截後,再將防護對象關聯到使用攔截模式的規則模板。