Web應用防火墻(WAF)的資產識別功能幫助您檢測發現云上與云下的所有域名資產,并對域名資產的安全狀態評分,使您掌握業務的整體防護狀態。您可以為安全評分較低的域名資產開啟防護,提升整體安全防護水位線。
前提條件
已購買中國內地地域的WAF實例。
目前只有中國內地WAF實例(包含包年包月實例和按量付費實例)支持資產識別功能。
背景信息
網絡應用資產是安全管理體系中最基礎的載體,同時也是業務系統中最基本的組成單元。隨著企業業務的高速發展,各類業務系統平臺逐年增多,同時也存在員工私建站點、測試環境未及時回收等情況,導致可能產生大量“僵尸”資產。信息安全領域存在典型的木桶效應,即安全防護的水位由企業最薄弱的一環決定。由于無人管理,“僵尸”資產往往使用了低版本的開源系統、組件、Web框架等,導致一些薄弱環節暴露在攻擊者的視野下,攻擊者可以利用這些站點作為“跳板”,繞過企業的網絡邊界防護,進而使得整個企業內網淪陷。
WAF資產識別功能通過獲取阿里云域名服務、云解析DNS、SSL證書等服務的配置信息,結合大數據關聯分析能力,幫助您主動發現云上與云下的域名資產,為您提供全局資產視角,避免在安全防護中出現資產遺漏。同時,資產識別基于阿里云默認Web攻擊檢測能力,結合威脅情報,為您計算出云上域名的安全分值,幫助您發現被攻擊者關注的域名,并支持為域名開啟防護,避免域名遭受入侵。
資產識別支持檢測的域名資源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服務器的域名和線下IDC機房使用的域名。
查看域名資產
登錄Web應用防火墻控制臺。
在頂部菜單欄,選擇中國內地地域。
重要目前只有中國內地WAF實例(包含包年包月實例和按量付費實例)支持資產識別功能。
在左側導航欄,選擇。
授權WAF訪問云資源。
使用資產識別功能前,您必須先授予WAF讀取阿里云賬號中相關云服務的網站信息和管理云解析DNS服務的域名解析記錄的權限。您可以通過系統自動創建的WAF服務關聯角色(AliyunServiceRoleForWAF)為WAF授權。使用WAF期間,您只需執行一次授權操作即可。
如果您已經執行過授權,請跳過該步驟;否則,參照以下步驟進行授權:
單擊免費開通。
在提示對話框,單擊確定。
您單擊確定后,阿里云將自動為您創建WAF服務關聯角色(AliyunServiceRoleForWAF)。
您可以在RAM控制臺頁面,查看阿里云為WAF自動創建的服務關聯角色。只有創建服務關聯角色AliyunServiceRoleForWAF后,您的WAF實例才能訪問云服務器ECS、負載均衡SLB及ALB、云解析、CDN、證書服務、日志服務等關聯云服務的資源。
完成云資源訪問授權后,WAF將自動檢測與您的阿里云賬號相關的域名資產,并在資產識別頁面展示檢測到的域名資產信息。
在資產識別頁面,查看WAF檢測發現的域名資產信息。
WAF將檢測發現的域名資產根據主域名進行聚合展示。您可以通過以下方式,選擇要查看的域名:
在域名資產列表上方的狀態篩選框,篩選域名的防護狀態,快速定位到未防護、部分防護、防護中的域名。
在域名資產列表上方的搜索框,使用域名關鍵字查詢指定域名。支持模糊查詢。
在域名資產列表,單擊某個主域名(例如,example.com)左側的
圖標,展開該主域名下所有的子域名列表(例如,www.example.com),查看具體的域名資產信息。
每個域名具體包含以下信息。
類型
說明
域名
網站綁定的域名。
服務器地址
網站服務器的IP地址、CNAME域名地址。
端口號
網站服務器開放的端口。
協議
網站服務器使用的協議類型,支持HTTP和HTTPS協議。
指紋信息
網站服務器的指紋信息。包括以下內容:
開發語言。例如,Java、PHP、ASP等。
中間件類型。例如,Nginx、Apache、Tomcat等。
開源或商業應用類型。例如,Wordpress、DedeCMS、Discuz!等。
開發框架類型。例如,ThinkPHP、Django等。
組件類型。例如,Apache Shiro、Apereo CAS等。
安全評分
基于云上近30天攻擊趨勢,結合威脅情報數據,通過加權計算得出的該域名的安全評分。
安全評分越低,表示域名的風險越高。對于安全評分較低的域名,建議您盡快將域名接入WAF防護,以免域名資產遭受入侵。
防護狀態
該網站域名是否已接入WAF進行防護。具體包含以下狀態:
為域名開啟防護
對于資產列表中處于未防護狀態的域名,如果該域名歸屬于當前阿里云賬號(即在域名服務控制臺的域名列表中),則您可以通過操作列的添加網站操作,將該域名自動接入到WAF進行防護。
添加域名時,如果控制臺提示泛域名已經被其他用戶開通,表示該域名所屬的泛域名(例如,www.example.com隸屬于*.example.com)已經被其他阿里云賬號接入WAF進行防護,您無需重復接入。
查看資產詳情
對于資產列表中處于防護中狀態的域名,您可以通過操作列的資產詳情操作,查看域名資產的詳細信息。
資產詳情頁面包含以下區域:
基本信息:包含域名、協議類型、防護狀態、服務器地址。
站點樹:
WAF通過采集到的域名訪問流量大小和流量特征,對已接入防護的域名進行URL站點樹分析,識別URL類型并進行分類。同時,站點樹使用大數據泛化聚合算法(歸一化算法)對URL和參數進行聚合展示。例如,站點樹會將以下新聞站點的具體URL聚合為
/{字符+數字}.html的URL形式:/news1234.html
/oldnews1223.html
/news1224.html
/news124.html
您可以在站點樹區域,查看域名資產聚合后的URL、參數名、參數值類型和近一天內URL的請求次數。
說明站點樹中的URL僅展示到路徑級別。默認最多展示三級并按照URL的請求次數排序,優先展示重要的資產。
該區域支持以下操作:
您可以通過選擇URL查詢或擴展名并輸入關鍵字,搜索指定的URL。
在URL列,您可以單擊帶有
圖標的URL,展開URL信息。在參數名|值類型列,您可以查看URL涉及的參數名和參數值類型。
說明參數信息已經過泛化聚合,默認僅展示三個聚合后的參數名和對應的值類型,您可以將光標移至右下角的
圖標,查看所有參數。