重要节假日、攻防演练或重要活动保障期间,Web应用对于攻击的容忍度极低。为应对这种情况,您可以通过配置基础防护和重保场景防护策略,制定更加精准和定制化的防御模式,提升特定时间段的防护效果。本文介绍如何配置重保期间的防护策略。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已开通重保场景防护功能。具体操作,请参见重保场景防护。
配置流程
步骤一:确保资产已全部接入WAF
在配置重保期间的防护策略前,首先要确认Web应用资产是否已全部接入WAF。您可以通过资产中心,排查相关情况。更多信息,请参见资产中心。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击资产中心。
在概览页签的资产列表,查看主域名的未防护子域名数。
若未防护子域名数为0,表示该主域名下的子域名均已接入WAF防护。
若未防护子域名数不为0,表示该主域名下存在未接入WAF防护的子域名。
单击主域名左侧的
图标,定位到配置状态为未接入的子域名,单击子域名操作列的接入。在接入管理页面,将子域名接入WAF。具体操作,请参见添加域名。
步骤二:设置源站保护策略
通过CNAME接入方式将网站接入WAF后,网站访问请求经过WAF检测,正常流量会被转发回源站。重保期间,为避免黑客获取您的源站IP并绕过WAF直接攻击源站,您可以设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量。
在左侧导航栏,单击接入管理。
在CNAME接入页签,单击Web应用防火墙回源IP网段列表。在回源IP段对话框,单击复制。
配置源站访问控制策略,放行步骤2复制的IP网段。具体操作,请参见步骤三:设置ECS安全组规则或步骤四:设置SLB访问控制。
步骤三:设置允许访问源站的范围
重保期间,可配置区域封禁策略,封禁非业务访问地区的请求;也可通过IDC封禁,封禁来自IDC或者云厂商的请求源IP。针对有伙伴、业务联动等业务需要场景,您也可以单独加白该请求源IP。具体操作,请参见设置白名单规则放行特定请求。
区域封禁
在左侧导航栏,选择。
定位到区域封禁区域,新建或编辑已有规则模板。
在区域封禁规则配置面板,定位到选择封禁区域,选中所有非业务访问区域,配置规则动作和生效对象后,单击确定。
IDC和云厂商封禁
在左侧导航栏,选择。
单击场景化防护页签,新建或编辑已有规则模板。
在防护场景定义配置向导,设置防爬保护目标的基础信息,并单击下一步。
在防护规则推荐配置向导,去勾选所有配置项。定位到Bot威胁情报区域,选中IDC黑名单封禁,勾选要封禁的IP库、配置规则动作后,单击下一步。
选择生效对象,单击下一步,完成配置。
步骤四:配置基础防护策略
重保期间,建议您将基础防护策略中的防护动作设置为拦截,自动阻断攻击请求。
在左侧导航栏,选择。
定位到基础防护规则区域,新建或编辑已有规则模板。
在基础防护规则配置面板,确认生效对象已全量覆盖,设置防护动作为拦截。
步骤五:检查并配置扫描防护策略
重保期间,攻击者会使用扫描工具对目标网站进行探测及漏洞扫描。为避免该种情况,您可以开启扫描防护策略中的高频扫描封禁、目录遍历封禁、扫描工具封禁,减少攻击者对源站信息的获取,甚至封禁掉攻击者IP的手动攻击。
在左侧导航栏,选择。
定位到扫描防护区域,新建或编辑已有规则模板。
在扫描防护规则配置面板,开启高频扫描封禁、目录遍历封禁、扫描工具封禁,配置防护动作和生效对象。
步骤六:配置重保场景防护策略
重保防护场景策略提供专项的场景化能力,包括:重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。您可以参考如下步骤配置重保场景防护策略。
在左侧导航栏,选择。
在防护模板页签,新建或编辑已有规则模板。
在重保防护模板面板,完成以下配置。
配置基本信息。完成后,单击下一步。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
防护规则
配置要应用的防护规则并配置规则动作。
重保威胁情报:攻防对抗恶意IP情报,精准识别攻击者。默认开启,且防护动作配置为观察。
重保防护规则组:基于智能防护模型,针对每个用户生成精准的防护规则集合。默认开启,且防护动作配置为观察。
重保IP黑名单:开启该功能,WAF会观察或拦截来自特定IP地址或地址段的请求,支持下发50,000条自定义IP或IP段黑名单。
Shiro反序列化漏洞防护:开启该功能,WAF会基于cookie加密技术防护Apache Shiro Java反序列化漏洞。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
如果配置基本信息时,开启重保IP黑名单防护规则,则需要通过以下方式配置IP黑名单。完成后,单击下一步。
配置项
操作
新增IP黑名单
单击新增IP黑名单,可手动添加IP黑名单。
在IP黑名单文本框,输入要加入黑名单的IP,回车保存。
说明IP黑名单为IPv6或CIDR掩码格式的地址段,多个地址之间用回车或英文逗号分隔,最多配置500个。
设置生效截止时间。可选项:
永久生效。
自定义。单击时间选择器,指定具体的生效截止时间。
在备注文本框,输入备注信息后,单击确定。
成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
导入IP黑名单
单击导入IP黑名单,可批量导入IP黑名单。
单击上传文件,选择要导入的IP黑名单文件。
重要支持上传CSV格式文件。
支持导入IPv4和IPv6格式的地址和地址段。
每条规则可导入一个文件,每个文件最多支持2000个IP/IP段,一个IP段占用1个计数单元,单次导入的文件大小不能超过1 MB。
有大批量IP导入的情况下,可分多次导入。
设置生效截止时间。可选项:
永久生效。
自定义。单击时间选择器,指定具体的生效截止时间。
在备注文本框,输入备注信息后,单击确定。
成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
清空所有IP
如果已添加IP的请求不再需要被拦截,您可以单击清空所有IP,删除所有IP。
清空过期IP
如果已添加IP的生效截止时间已过期,您可以单击清空过期IP,清空所有过期IP。
相关文档
如果您希望通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的访问,解决部分地区高发的恶意请求问题,请参见设置区域封禁规则封禁特定区域请求。
如果您希望通过设置Bot管理的网页防爬场景化规则,防御通过浏览器访问网页或H5页面(包括App中使用的H5页面)等的爬虫风险,请参见设置网页防爬场景化规则防御网页爬虫。
如果您希望通过设置基础防护规则和防护规则组来帮助Web业务防御SQL注入、XSS跨站、代码执行、WebShell上传、命令注入等常见的Web应用攻击,请参见基础防护规则和规则组。
如果您希望通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量,请参见扫描防护规则。