重保场景防护适用于特定时间段的重大活动安全保障,为您提供更加精准和定制化的防御模式。本文介绍如何开启和使用重保场景防护模式。
计费说明
产品及服务价格可能会发生变动,最终请以您的阿里云账单为准。
特性 | 说明 |
计费模式 | 重保场景防护采用预付费模式,支持30天起购买,并根据开通时所选的时长,生成预付费账单。 |
有效期 | 重保场景防护在购买后立即生效,有效期为开通时所选的购买时长。 到期后,重保场景防护功能将自动停止防护。 |
续费 | 重保场景防护暂不支持直接续费。如果您希望继续使用重保场景防护功能,您可以在到期后再次开通重保场景防护。 |
退款说明 | 重保场景防护购买成功后,不支持任何形式的退订(包含五天无理由退订、非五天无理由退订)及退款。购买前,请根据业务需求评估是否购买。 |
前提条件
已开通WAF 3.0服务。具体操作,请参见开通WAF 3.0包年包月实例、开通WAF 3.0按量付费实例。
不同版本的实例对应的开通重保场景防护方式不同。
已开通实例的版本
是否默认开通重保场景防护
说明
包年包月旗舰版
是
无需单独开通重保场景防护,可直接使用该功能。
包年包月高级版和企业版、按量付费版
否,可通过临时升级开通
包年包月基础版
否,且暂不支持开通重保场景防护
已通过CNAME接入、云产品接入(CLB(HTTP/HTTPS)、CLB(TCP)、ECS)完成Web业务接入。具体操作,请参见接入管理概述。
说明通过ALB、MSE或FC接入WAF的防护对象暂不支持该功能。
开通重保场景防护
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择防护配置> 场景防护> 重保场景防护。
单击开通重保防护,在开通重保防护面板,开启重保场景,并设置还原时间。
仔细阅读并选中服务协议后,单击立即购买并完成支付。
开通重保场景防护后,您可以在重保场景防护页面,在重保场景防护包卡片区域,查看重保场景防护的规格详情。
新建重保场景防护规则模板
首次配置重保场景防护时,您必须新建一个重保场景防护规则模板。最多支持创建20个防护模板。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择防护配置> 场景防护> 重保场景防护。
在防护模板页签,单击新建模板。
在新建重保防护模板面板,完成以下配置。
配置基本信息。完成后,单击下一步。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
防护规则
配置要应用的防护规则并配置规则动作。
重保威胁情报:攻防对抗恶意IP情报,精准识别攻击者。默认开启,且防护动作配置为观察。
重保防护规则组:基于智能防护模型,针对每个用户生成精准的防护规则集合。默认开启,且防护动作配置为观察。
重保IP黑名单:开启该功能,WAF会观察或拦截来自特定IP地址或地址段的请求,支持下发50,000条自定义IP或IP段黑名单。
Shiro反序列化漏洞防护:开启该功能,WAF会基于cookie加密技术防护Apache Shiro Java反序列化漏洞。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
如果配置基本信息时,开启重保IP黑名单防护规则,则需要通过以下方式配置IP黑名单。完成后,单击下一步。
配置项
操作
新增IP黑名单
单击新增IP黑名单,可手动添加IP黑名单。
在IP黑名单文本框,输入要加入黑名单的IP,回车保存。
说明IP黑名单为IPv6或CIDR掩码格式的地址段,多个地址之间用回车或英文逗号分隔,最多配置500个。
设置生效截止时间。可选项:
永久生效。
自定义。单击时间选择器,指定具体的生效截止时间。
在备注文本框,输入备注信息后,单击确定。
成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
导入IP黑名单
单击导入IP黑名单,可批量导入IP黑名单。
单击上传文件,选择要导入的IP黑名单文件。
重要支持上传CSV格式文件。
支持导入IPv4和IPv6格式的地址和地址段。
每条规则可导入一个文件,每个文件最多支持2000个IP/IP段,一个IP段占用1个计数单元,单次导入的文件大小不能超过1 MB。
有大批量IP导入的情况下,可分多次导入。
设置生效截止时间。可选项:
永久生效。
自定义。单击时间选择器,指定具体的生效截止时间。
在备注文本框,输入备注信息后,单击确定。
成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
清空所有IP
如果已添加IP的请求不再需要被拦截,您可以单击清空所有IP,删除所有IP。
清空过期IP
如果已添加IP的生效截止时间已过期,您可以单击清空过期IP,清空所有过期IP。
单击完成。
新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
查看防护模板包含的防护规则、关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑、删除或复制规则模板。
如果当前防护模板已开启重保IP黑名单规则,可单击编辑IP黑名单,添加或修改IP黑名单。
查看重保场景防护数据
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择防护配置> 场景防护> 重保场景防护。
在安全报表页签,您可以查看如下信息。
在防护数据卡片区域,查看统计截止时间内的请求总数、拦截总数和通过饼状图展示的防护类型及其数据。
在重保场景防护包卡片区域,查看统计截止时间内的重保规则数、威胁情报规则数、IP黑名单已使用规格/总规格等信息。
在安全报表页签,设置要查询的防护对象和时间范围,查询对应的安全报表数据。
防护对象:默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据。您可以选择只查询某个对象的数据。
时间范围:默认展示今天的数据。您可以选择查询昨天、今天、7天、30天或最近30天范围内任意时间的数据。
安全报表数据说明如下表所示。
数据类型
说明
支持的操作
攻击统计分析(图示①)
展示在指定时间范围内,防护对象收到的攻击请求的统计分析结果,包括:
安全攻击类型分布:
通过饼状图,展示攻击类型的分布情况。
TOP5攻击情况:
在攻击对象页签、攻击源IP页签,通过列表,分别展示发起攻击请求次数最多的前5个攻击对象、攻击源IP。按照攻击次数由大到小排序。
无
攻击事件记录(图示②)
通过列表,展示触发基础防护规则的攻击请求的信息。
列表中包含以下信息:
攻击IP:发起攻击请求的IP地址。
所属区域:攻击IP所属地域。
攻击时间:攻击的开始时间。
攻击类型:攻击的类型,例如,SQL注入、代码执行等。
规则类型:规则所属的类型,例如,重保防护规则组、重保威胁情报等。
规则动作:分为拦截(表示WAF拦截了该请求)和观察(表示WAF只观察记录该请求为攻击请求,未拦截该请求)。
筛选攻击事件
您可以在攻击事件表格上方,使用以下字段(从左到右依次排序)筛选攻击事件:
攻击类型:默认已选择全部。其他可选项:SQL注入、跨站脚本、代码执行、本地文件包含、远程文件包含、Webshell、其他。
规则类型:默认已选择全部。其他可选项:重保防护规则组、重保威胁情报、重保IP黑名单、Shiro反序列化漏洞防护。
规则动作:默认已选择全部。其他可选项:拦截、观察。
查看攻击详情
在攻击事件操作列,单击目标事件的查看详情,可以查看攻击详情,获取关于攻击事件和防护规则的更多信息,例如,规则ID、规则名称、规则描述、规则动作、攻击类型等。
实时威胁情报(图示③)
实时展示攻击IP威胁情报信息,包括:
攻击IP及其属性。
攻击IP所属区域。
近一小时攻击次数。
攻击类型。
查询攻击IP实时威胁情报
在搜索框输入要查询的IP,单击
,可查询IP对应的威胁情报属性。