网站业务接入Web应用防火墙(Web Application Firewall,简称WAF)防护后,您可以通过WAF总览页面,查询最近30天内的应急漏洞信息、网站流量分析数据、网站威胁事件分析。WAF总览页面帮助您了解网站业务的整体安全状态。
前提条件
已将网站域名接入WAF进行防护。具体操作,请参见添加域名。
查询总览数据
WAF实例根据所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面实现管控,非中国内地的WAF实例将使用新加坡的管控平面实现管控。
通过总览页面,您可以集中查看已接入防护全量资源的请求数、QPS等信息。我们将基于您购买的不同地域WAF实例所对应的管控平面,向您进行图表和信息展示。
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击总览。
在总览页面上方,设置要查询的域名和查询时间,查询总览数据。
应急漏洞数据说明
应急漏洞记录展示了WAF应对互联网上最新披露的安全漏洞所发布的防护规则更新。
您可以单击某个应急漏洞记录,查看应急漏洞防护详情。详情页面展示了受该漏洞影响的网站域名,以及漏洞的详情和相关的WAF防护规则信息。
防护统计数据说明
防护统计数据展示了网站域名收到的全部请求次数和触发了不同防护模块的请求次数,具体包括Web入侵防护、CC安全防护、扫描防护、访问控制、Bot防护。
单击不同防护模块下的请求次数,可以跳转到对应的安全报表页面,查看统计数据对应的攻击记录。更多信息,请参见WAF安全报表。
单击防护统计区域下方的按钮,可以展示查看详细数据。具体说明如下:
如果您查询的是全部域名的数据,展开后将显示在统计数据中占比最大的域名Top 5。
如果您查询的是某个域名的数据,展开后将显示统计数据随时间的变化趋势。
请求分析图表说明
请求分析图表包含请求趋势图、客户端类型分布图、请求数据分析排行图。具体说明如下:
请求趋势图:展示请求次数、QPS、带宽、响应码随时间的变化趋势。
说明趋势图能够显示的最小时间粒度为秒钟。当您选择查询实时数据时,将可以看到精确到每秒钟的请求数据趋势。
您可以单击对应页签(图示①),选择要查看的趋势数据。单击趋势图下方的图例(图示②),可以在趋势图中取消或显示对应类型的记录。
不同趋势数据的说明如下:
请求次数:包含全部请求次数、Web入侵防护次数、CC安全防护次数、扫描防护次数、访问控制命中次数、Bot防护次数随时间的变化趋势。
QPS:包含全部请求QPS、Web入侵防护QPS、CC安全防护QPS、扫描防护QPS、访问控制QPS、Bot防护QPS随时间的变化趋势。
单击趋势图右上角的均值图、峰值图,可以选择显示QPS均值或QPS峰值数据。
带宽:包含入方向带宽和出方向带宽(单位:bps)随时间的变化趋势。
响应码:包含WAF返回给客户端、源站返回给WAF的5XX、405、499、302、444等异常响应码的数量随时间的变化趋势。
单击趋势图右上角的WAF返回客户端、源站返回给WAF,可以选择显示对应数据。
流量成份分析:包含机器流量占比数据和客户端类型分布图。
具体说明如下:
机器流量占比数据统计了网站域名的所有Web请求流量,其中来自浏览器客户端、应用程序客户端的流量被判定为真人流量,来自其他类型客户端的流量被判定为机器流量。
如果机器流量占比过高,建议您单击立即防护,使用WAF的Bot管理功能防御Bot攻击。您可以单击查看趋势前往安全报表页面,通过Bot管理报表查询Bot攻击的防护效果。关于Bot管理的更多介绍,请参见配置浏览器访问网页的防爬场景化规则。
客户端类型分布图以饼状图的形式,展示了访问源客户端的类型分布情况。常见的客户端类型有浏览器、脚本工具、搜索引擎、扫描器等,您可以单击流量成份分析后的图标,查询不同客户端类型的具体定义。
您可以单击饼状图中的某个类型,查看该类型下二级子分类的分布数据。例如,单击饼状图中的浏览器类型,查询来自不同类型浏览器的流量分布情况。
请求数据分析排行图:展示发起请求次数最多的客户端类型Top 10、被请求次数最多的URL Top 10、发起请求次数最多的IP Top 10。您可以单击对应页签,选择要查看排行数据:
客户端TOP 10:发起请求次数最多的客户端类型Top 10。
URL请求次数:被请求次数最多的URL Top 10。
Top IP:发起请求次数最多的IP Top 10。
威胁事件分析数据说明
威胁事件分析展示了网站域名上发生的攻击事件的记录和WAF针对攻击的拦截情况,帮助您直观了解业务面临的威胁态势及获取应对方法。
您可以单击某个事件名称,查看事件详情。详情页面展示了该攻击的详细威胁情报和针对威胁的安全建议,并支持通过Top 5攻击分布,对该攻击事件进行简单分析。例如,您可以单击以下页签,查看相关数据:
源IP:发起攻击次数最多的客户端IP Top 5。
攻击目标:被攻击次数最多的URL Top 5。
攻击类型:攻击者使用次数最多的攻击类型(例如,SQL注入、跨站脚本等)Top 5。
攻击日期:攻击者发起攻击次数最多的日期Top 5。
攻击工具:攻击者使用次数最多的攻击工具(例如,Curl、Postmanruntime等)Top 5。
在事件详情面板,单击事件标题后的查看日志,将会跳转到日志服务页面。您可以通过查询相关日志,对事件做进一步分析。相关操作,请参见日志查询。