Web应用防火墙(WAF)的资产识别功能帮助您检测发现云上与云下的所有域名资产,并对域名资产的安全状态评分,使您掌握业务的整体防护状态。您可以为安全评分较低的域名资产开启防护,提升整体安全防护水位线。
前提条件
已购买中国内地地域的WAF实例。
目前只有中国内地WAF实例支持资产识别功能。
背景信息
网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在员工私建站点、测试环境未及时回收等情况,导致可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”,绕过企业的网络边界防护,进而使得整个企业内网沦陷。
WAF资产识别功能通过获取阿里云域名服务、云解析DNS、SSL证书等服务的配置信息,结合大数据关联分析能力,帮助您主动发现云上与云下的域名资产,为您提供全局资产视角,避免在安全防护中出现资产遗漏。同时,资产识别基于阿里云默认Web攻击检测能力,结合威胁情报,为您计算出云上域名的安全分值,帮助您发现被攻击者关注的域名,并支持为域名开启防护,避免域名遭受入侵。
资产识别支持检测的域名资源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。
查看域名资产
登录Web应用防火墙控制台。
在顶部菜单栏,选择中国内地地域。
重要目前只有中国内地WAF实例支持资产识别功能。
在左侧导航栏,选择 。
授权WAF访问云资源。
使用资产识别功能前,您必须先授予WAF读取阿里云账号中相关云服务的网站信息和管理云解析DNS服务的域名解析记录的权限。您可以通过系统自动创建的WAF服务关联角色(AliyunServiceRoleForWAF)为WAF授权。使用WAF期间,您只需执行一次授权操作即可。
如果您已经执行过授权,请跳过该步骤;否则,参照以下步骤进行授权:
单击免费开通。
在提示对话框,单击确定。
您单击确定后,阿里云将自动为您创建WAF服务关联角色(AliyunServiceRoleForWAF)。
您可以在RAM控制台 页面,查看阿里云为WAF自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForWAF后,您的WAF实例才能访问云服务器ECS、负载均衡SLB及ALB、云解析、CDN、证书服务、日志服务等关联云服务的资源。
完成云资源访问授权后,WAF将自动检测与您的阿里云账号相关的域名资产,并在资产识别页面展示检测到的域名资产信息。
在资产识别页面,查看WAF检测发现的域名资产信息。
WAF将检测发现的域名资产根据主域名进行聚合展示。您可以通过以下方式,选择要查看的域名:
在域名资产列表上方的状态筛选框,筛选域名的防护状态,快速定位到未防护、部分防护、防护中的域名。
在域名资产列表上方的搜索框,使用域名关键字查询指定域名。支持模糊查询。
在域名资产列表,单击某个主域名(例如,example.com)左侧的图标,展开该主域名下所有的子域名列表(例如,www.example.com),查看具体的域名资产信息。
每个域名具体包含以下信息。
类型
说明
域名
网站绑定的域名。
服务器地址
网站服务器的IP地址、CNAME域名地址。
端口号
网站服务器开放的端口。
协议
网站服务器使用的协议类型,支持HTTP和HTTPS协议。
指纹信息
网站服务器的指纹信息。包括以下内容:
开发语言。例如,Java、PHP、ASP等。
中间件类型。例如,Nginx、Apache、Tomcat等。
开源或商业应用类型。例如,Wordpress、DedeCMS、Discuz!等。
开发框架类型。例如,ThinkPHP、Django等。
组件类型。例如,Apache Shiro、Apereo CAS等。
安全评分
基于云上近30天攻击趋势,结合威胁情报数据,通过加权计算得出的该域名的安全评分。
安全评分越低,表示域名的风险越高。对于安全评分较低的域名,建议您尽快将域名接入WAF防护,以免域名资产遭受入侵。
防护状态
该网站域名是否已接入WAF进行防护。具体包含以下状态:
为域名开启防护
对于资产列表中处于未防护状态的域名,如果该域名归属于当前阿里云账号(即在域名服务控制台的域名列表中),则您可以通过操作列的添加网站操作,将该域名自动接入到WAF进行防护。
添加域名时,如果控制台提示泛域名已经被其他用户开通,表示该域名所属的泛域名(例如,www.example.com隶属于*.example.com)已经被其他阿里云账号接入WAF进行防护,您无需重复接入。
查看资产详情
对于资产列表中处于防护中状态的域名,您可以通过操作列的资产详情操作,查看域名资产的详细信息。
资产详情页面包含以下区域:
基本信息:包含域名、协议类型、防护状态、服务器地址。
站点树:
WAF通过采集到的域名访问流量大小和流量特征,对已接入防护的域名进行URL站点树分析,识别URL类型并进行分类。同时,站点树使用大数据泛化聚合算法(归一化算法)对URL和参数进行聚合展示。例如,站点树会将以下新闻站点的具体URL聚合为
/{字符+数字}.html
的URL形式:/news1234.html
/oldnews1223.html
/news1224.html
/news124.html
您可以在站点树区域,查看域名资产聚合后的URL、参数名、参数值类型和近一天内URL的请求次数。
说明站点树中的URL仅展示到路径级别。默认最多展示三级并按照URL的请求次数排序,优先展示重要的资产。
该区域支持以下操作:
您可以通过选择URL查询或扩展名并输入关键字,搜索指定的URL。
在URL列,您可以单击带有图标的URL,展开URL信息。
在参数名|值类型列,您可以查看URL涉及的参数名和参数值类型。
说明参数信息已经过泛化聚合,默认仅展示三个聚合后的参数名和对应的值类型,您可以将光标移至右下角的图标,查看所有参数。