全部產品
Search
文件中心

Web Application Firewall:防護配置概述

更新時間:Dec 21, 2024

本文介紹了Web Application Firewall(Web Application Firewall,簡稱WAF)服務防護配置的相關術語、配置流程、防護模組概覽及典型配置案例。

防護配置流程

Web業務接入WAF防護後,您可以參照以下步驟,為Web業務配置 防護規則 。不同接入方式下的防護配置流程略有差異。

步驟

雲產品接入

CNAME接入

1. 添加 防護對象

完成雲產品接入的雲產品執行個體已被自動添加為WAF的防護對象。

如需為執行個體中的網域名稱配置獨立的防護規則(例如,執行個體中有多個網域名稱,不同網域名稱需要配置不同的防護規則),必須手動將網域名稱添加為WAF的防護對象。具體操作,請參見配置防護對象和防護對象組

無需執行。

完成CNAME接入的網域名稱已被自動添加為WAF的防護對象。

2. (可選)將防護對象加入 防護對象組

如需為多個防護對象配置同樣的防護規則,可以將多個對象加入到一個防護對象組(簡稱對象組),然後為對象組配置防護規則。對象組的防護規則對組內所有對象生效。

使用對象組時,必須先建立一個對象組並為對象組關聯防護對象。具體操作,請參見建立防護對象組

3. 定義規則模板。

如需啟用某個 防護模組 ,則防護模組下必須先有規則模板,然後您可將規則模板應用到指定的防護對象或對象組。

Web核心防護規則白名單模組已內建預設規則模板,無需您手動建立規則模板;如需啟用其他防護模組,則必須先手動建立規則模板。更多資訊,請參見防護模組概覽

您可以定義多套規則模板,為不同防護對象應用不同的防護規則。更多資訊,請參見多套規則模板應用樣本

4. 管理防護規則。

您可以在不同防護模組下的規則模板中管理具體的防護規則,例如啟用或禁用規則、新增規則等。規則模板中發生的規則變動將直接應用到該規則模板的生效對象。

不同規則模板支援的規則操作不完全相同。更多資訊,請參見防護模組概覽

防護模組概覽

下表描述了WAF支援的所有防護模組,以及不同防護模組的預設配置。

防護模組

說明

預設規則模板

配置建議

Web核心防護規則

基於阿里雲安全內建的 防護規則集 ,協助Web業務防禦SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。

內建一套預設規則模板(包含WAF的Web核心防護規則集)。規則模板預設啟用,且採用攔截模式。

重要

新接入WAF防護的對象預設受到Web核心防護規則的防護,Web核心防護規則會自動攔截攻擊請求。

建議保持預設配置。

業務接入WAF防護一段時間後,如果您發現Web核心防護規則集存在誤攔截,可以通過設定白名單規則,屏蔽產生誤攔截的Web核心防護規則。相關操作,請參見設定白名單規則允許存取特定請求

防護規則群組

說明

防護規則群組功能已升級迭代為引擎配置功能詳見【公告】

支援預設規則群組和自訂規則組。您可以根據業務需要,將規則群組關聯到Web核心防護規則模板,協助網站防禦各種常見的Web應用攻擊。

內建一套預設規則群組。

如需啟用自訂規則組,必須建立一個規則群組模板,並配置相關規則。

白名單

白名單模組允許您根據業務情境,自訂允許存取具有指定特徵的請求,使請求不經過全部或特定防護模組的檢測。

內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。

如需允許存取具有指定特徵的業務請求流量,可以在預設規則模板下建立白名單規則。

CC防護

基於內建的通用CC防護演算法,緩解產品規格內的高頻請求(HTTP Flood)攻擊。您也可以通過自訂規則中的頻率限制進行更加靈活的自訂CC防護。

內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。

說明

僅訂用帳戶進階版、訂用帳戶企業版及訂用帳戶旗艦版包含預設開啟的預設規則模板。

如需啟用自訂規則,必須建立一個規則模板,並配置相關規則。

掃描防護

掃描防護模組通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量。

內建一套預設規則模板(未定義任何規則)。規則模板預設啟用。

說明

僅訂用帳戶進階版、訂用帳戶企業版及訂用帳戶旗艦版包含預設開啟的預設規則模板。

如需啟用自訂規則,必須建立一個規則模板,並配置相關規則。

IP黑名單

IP黑名單模組允許您根據業務情境,自訂攔截來自特定IP地址(IPv4或IPv6地址)或位址區段的請求。

不提供預設規則模板,當前防護模組預設未啟用。

如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。

自訂規則

自訂規則模組允許您基於自訂的HTTP請求特徵或特徵組合,對合格請求執行攔截、驗證、記錄日誌等處置。

您也可以選擇限速模式,將訪問超出一定頻率的統計對象(例如IP、會話)加入黑名單,在黑名單有效期間內對統計對象執行相應處置。

自訂響應

自訂響應模組允許您自訂用戶端請求被WAF攔截時,WAF返回給用戶端的攔截頁面的樣式和內容,包含響應碼、回應標頭、響應體。

地區封鎖

一鍵封鎖來自特定地區的用戶端IP。

網頁防篡改

協助您鎖定需要保護的網站頁面,被鎖定的頁面在收到請求時,返回已設定的快取頁面面。

資訊泄露防護

協助您過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊,如社會安全號碼、銀行卡號、電話號碼和禁用語等,進行脫敏顯示。

Bot管理-基礎防護規則

基於四/七層流量指紋識別Bot流量,一鍵開啟防護。

Bot管理-網頁防爬情境化防護規則

基於用戶端、流量、行為和情報等多維度特徵識別機器(Bot)流量,允許存取搜尋引擎等好的Bot,緩解惡意Bot帶來的頻寬增加、資料爬取、垃圾註冊/下單/投票、介面濫刷等風險。

Bot管理-App防爬情境化防護規則

重保情境防護

支援特定時間段的重大活動安全保障,為您提供更加精準和定製化的防禦模式。

不提供預設規則模板,當前防護模組預設未啟用。

如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。

API安全

支援自動梳理已接入WAF防護的業務的API資產,檢測API風險(例如未授權訪問、敏感性資料過度暴露、內部介面泄露等),並通過報表還原API例外狀況事件,提供詳細的風險處理建議和API生命週期管理參考資料。

不涉及。

洪峰限流

支援使用QPS限流或者百分比限流的方式嚴格控制進入伺服器的請求數量,並能篩選訪問來源地區的流量。

不提供預設規則模板,當前防護模組預設未啟用。

如需啟用當前防護模組,必須建立一個規則模板,並配置相關規則。

重要

不同WAF版本支援的防護功能存在差異,例如洪峰限流功能只能在訂用帳戶進階版及以上的版本中開通,更多功能差異資訊請參考版本說明

一鍵關閉WAF防護功能

當您需要臨時關閉WAF防護時,您可以在WAF 3.0控制台的防護對象頁面中,關閉WAF防護開關。如下圖所示。

image

當開關關閉時,您接入網站的流量會臨時繞行WAF防護引擎,並不再記錄攔截和觀察日誌。在您完成應急測試等需要臨時關閉WAF的操作後,推薦您儘快返回WAF 3.0控制台的防護對象頁面,開啟WAF防護開關,記錄攔截和觀察日誌,減少您資產的暴露風險。若您關閉了WAF防護開關或功能,但配置了API安全防護,相關檢測流程仍將繼續執行。

重要

對於開通隨用隨付版本的使用者,即使通過開關臨時關閉WAF防護,仍會正常收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。Bot管理流量費、風險識別服務及自訂規則的流量計費將暫停。

說明
  • 雲產品接入中,微服務引擎(MSE)與Function Compute(FC)尚不支援一鍵關閉繞過功能。針對混合雲部署,該功能需達到指定版本方可生效。詳情請諮詢您的商務經理,或通過工單提交諮詢,我們的支援小組將為您提供精確的版本要求資訊。

多套規則模板應用樣本

在一個防護模組下定義多套規則模板,可以實現為不同防護對象配置不同的防護規則,滿足多樣化的業務防護需求。

Web核心防護規則模組為例:該模組內建了一套預設規則模板(規則動作攔截),直接應用於所有新接入WAF防護的對象。如果WAF檢測到防護對象上的攻擊請求,將會攔截攻擊請求。

如果您希望對後續新接入WAF防護的對象採用觀察模式(不攔截攻擊請求,只記錄請求命中了規則),只對已接入WAF防護的業務採用攔截模式,則可以按以下方式配置。

  • 將預設規則模板的規則動作設定為觀察

  • 建立一個 基礎防護規則模板 ,將該模板的規則動作設定為攔截,並將生效對象設定為已接入WAF防護的所有防護對象。

完成以上配置後,新接入WAF防護的對象預設採用觀察模式,您可以在確認WAF無誤攔截後,再將防護對象關聯到使用攔截模式的規則模板。