CDN結合邊緣Web應用防火墻WAF(Web Application Firewall)能力,在CDN節點上提供WAF防護功能,可以有效識別業務流量惡意特征,將正常、安全的流量回源到服務器。避免網站服務器被惡意入侵,保障業務的核心數據安全,解決因惡意攻擊導致的服務器性能異常問題。

前提條件

  • 已在CDN控制臺開通CDN WAF功能(開通方式:選擇CDN WAF > 安全總覽,單擊開通基礎版)。
  • 基礎版僅支持中國內地,開啟加速節點的WAF防護前請您確認域名的加速區域選擇為僅中國內地。修改域名加速區域的操作方法,請參見切換加速區域
    說明 如果您是政府、金融、傳媒、零售類客戶或月消費金額大于2萬,可聯系您對應的阿里云銷售,協助您開通CDN WAF的高級版或企業版。高級版或企業版相對于基礎版提供更多的功能以及其特殊的商業模式,因此需要支付更高的費用。

功能說明

阿里云CDN的WAF功能,是指CDN融合了WAF能力,在CDN節點上,提供WAF防護功能。WAF防護具體功能,請參見什么是Web應用防火墻

不同版本的CDN WAF支持的網站防護配置,請參見下表,單擊下表鏈接即可查看詳細功能介紹。
功能項基礎版高級版企業版
Web掃描防護支持支持支持
主動防御不支持不支持支持
賬號安全不支持支持支持
CC攻擊防護不支持支持支持
海量IP黑名單封禁支持支持支持
Rate Limit不支持不支持支持
爬蟲情報庫不支持不支持支持
驗證碼集成不支持不支持支持
爬蟲智能算法不支持不支持支持
基礎Web攻擊防護支持支持支持
0 DAY規則更新防護支持支持支持
預警|阻斷模式支持支持支持
解碼防混淆編碼繞過不支持支持支持
規則組自定義不支持不支持支持
HTTP字段訪問控制不支持支持支持
日志服務不支持支持(1T)支持(3T)

適用場景

CDN的WAF服務主要適用于金融、電商、O2O、互聯網+、游戲、政府、保險等行業,保護您的網站在使用CDN加速的同時,免受因外部惡意攻擊而導致的意外損失。

使用CDN WAF功能后,可以幫助您解決以下問題:
  • 防數據泄密,避免因黑客的注入式攻擊導致網站核心數據被拖庫泄露。
  • 阻止木馬上傳網頁篡改,保障網站的公信力。
  • 提供虛擬補丁,針對網站被曝光的最新漏洞,最大可能地提供快速修復規則。

費用說明

當您開啟WAF功能后,CDN WAF會對此域名的所有請求進行檢測,并按照賬戶維度,對域名開啟WAF功能的請求次數匯總,然后收費。CDN WAF計費價格,請參見增值服務計費-CDN WAF計費

操作步驟

  1. 登錄CDN控制臺
  2. 在左側導航欄,選擇CDN WAF > 域名列表
  3. 域名列表頁面,單擊目標域名對應的防護配置
  4. 根據頁面提示,配置Web安全Bot管理訪問控制/限流
    項目參數說明
    Web安全狀態Web入侵防護開關。
    模式Web入侵防護模式如下:
    • 攔截:發現入侵后直接攔截。
    • 告警:發現入侵后只告警不攔截。
    防護規則組Web入侵防護規則如下:
    • 寬松規則:當您發現在中等規則下存在較多誤攔截時,建議您選擇寬松規則。寬松模式下對業務的誤報程度最低,但也容易漏過攻擊。
    • 中等規則:默認使用中等規則。
    • 嚴格規則:當您需要更嚴格地防護路徑穿越、SQL注入、命令執行時,建議您選擇嚴格規則
    解碼設置設置需要正則防護引擎解碼分析的內容格式。
    1. 單擊jiema,打開配置窗口。
    2. 選中或取消選中要解碼的格式。
      • 不支持取消的格式:URL解碼JavaScript Unicode解碼Hex解碼注釋處理空格壓縮
      • 支持取消的格式:Multipart解析JSON解析XML解析PHP序列化解碼HTML實體解碼UTF-7解碼Base64解碼Form解析
    3. 單擊確定
    說明 為保證防護效果,正則防護引擎默認對請求中所有格式類型的內容進行解碼分析。如果您發現正則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。
    Bot管理(僅限企業版用戶)合法爬蟲狀態合法爬蟲開關。
    說明 合法爬蟲提供合法搜索引擎白名單,可應用于全域名下放行。您可以根據實際需求,單擊前去配置,啟用或者關閉合法爬蟲。
    典型爬蟲行為識別狀態典型爬蟲行為識別開關。
    說明 典型爬蟲行為識別提供典型爬蟲行為識別的通用算法實例,可配置基本業務參數和風險閾值進行機器學習,輸出智能防護結果以對抗高級爬蟲。您可以根據實際需求,單擊前去配置,添加算法規則。
    爬蟲威脅情報狀態爬蟲威脅情報開關。
    說明 爬蟲威脅情報基于云平臺強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及云端實時模型生成的惡意爬蟲庫等多種維度的威脅情報,可應用于全域名或指定路徑下進行阻斷。您可以根據實際需求,單擊前去配置,編輯情報。
    訪問控制/限流IP黑名單狀態IP黑名單控制開關。
    說明 IP黑名單支持一鍵封禁特定的IP地址和地址段訪問,以及指定區域的IP地址的訪問限制能力。您可以根據實際需求,單擊前去配置,添加IP地址黑名單和IP地域黑名單。
    自定義防護策略狀態自定義防護策略開關。
    說明 自定義防護策略支持自定義精準條件的訪問控制規則,以及基于精準條件下的指定統計對象的訪問限制自定義規則。您可以根據實際需求,單擊前去配置,添加自定義防護策略。

角色授權

當您首次使用CDN WAF功能時,首先需要通過CDN控制臺完成WAF產品對CDN產品調用的訪問授權,CDN將自動為您創建AliyunServiceRoleForCDNAccessingWAF角色,并授權CDN使用該角色,以及授權CDN訪問WAF產品中的資源。

AliyunServiceRoleForCDNAccessingWAF角色中包含的權限包括如下接口:

  • DescribePayInfo
  • CreatePostpaidInstance
  • CreateOutputDomainConfig
  • DeleteOutputDomainConfig
  • DescribeDomainWebAttackTypePv
  • ModifyLogServiceStatus
  • DescribeProtectionModuleMode
  • DescribeDomainRuleGroup
  • DescribeRegions
  • ModifyProtectionRuleStatus
  • ModifyProtectionRuleCacheStatus
  • DescribePeakValueStatisticsInfo
  • DescribeDomainAccessStatus
  • DescribeFlowStatisticsInfo
  • DescribeDomainTotalCount
  • DescribeResponseCodeStatisticsInfo
  • DescribeDDosCreditThreshold
  • ModifyDomainClusterType
  • DescribeInstanceInfo
  • DescribeOutputDomains
  • CreateOutputDomain
  • DeleteOutputDomain
  • DeleteInstance
  • DescribeInstanceSpecInfo
  • DescribeDomainBasicConfigs

如果您希望刪除該AliyunServiceRoleForCDNAccessingWAF角色,您需要填寫信息申請刪除CDN WAF實例,關閉所有域名的CDN WAF功能,然后才能在RAM中刪除該SLR。