應(yīng)用防護(hù)RASP（Runtime Application Self-Protection）和Web 應(yīng)用防火墻 WAF（Web Application Firewall）有什么區(qū)別？

應(yīng)用防護(hù)和Web應(yīng)用防火墻是用來保護(hù)應(yīng)用程序安全的兩種不同技術(shù)，應(yīng)用防護(hù)擅長防護(hù)針對服務(wù)器的0day、加密流量等攻擊，WAF擅長防御前端的流量型攻擊，兩種技術(shù)提供的安全能力可以互相補(bǔ)充，建議同時配置應(yīng)用防護(hù)和WAF兩種方式。

應(yīng)用防護(hù)支持接入哪些類型的應(yīng)用？

應(yīng)用防護(hù)功能目前僅支持接入Java應(yīng)用及相關(guān)中間件，例如Tomcat。

如何確定服務(wù)器中可以防護(hù)的應(yīng)用范圍？

應(yīng)用防護(hù)僅支持防護(hù)運(yùn)行狀態(tài)的Java應(yīng)用。在購買應(yīng)用防護(hù)授權(quán)數(shù)前，您可以參考下述步驟查看支持接入的應(yīng)用數(shù)量和詳細(xì)信息。

1. 登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實(shí)例的資源組和地域（中國內(nèi)地、非中國內(nèi)地）。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 應(yīng)用防護(hù)。

3. 在防護(hù)統(tǒng)計(jì)區(qū)域，單擊立即掃描。

   單擊立即掃描后，云安全中心客戶端將會對您資產(chǎn)中進(jìn)程信息進(jìn)行采集。

   說明

   免費(fèi)版、僅采購增值服務(wù)版、防病毒版和高級版每天僅支持執(zhí)行一次立即掃描操作。

4. 查看您資產(chǎn)中存在的應(yīng)用進(jìn)程數(shù)量，您可以單擊數(shù)字查看應(yīng)用進(jìn)程列表。應(yīng)用進(jìn)程列表提供了支持接入應(yīng)用防護(hù)的應(yīng)用進(jìn)程所在服務(wù)器信息、進(jìn)程名、PID（進(jìn)程標(biāo)識符）和啟動參數(shù)。

   重要

   防護(hù)一個應(yīng)用需消耗一個應(yīng)用防護(hù)授權(quán)數(shù)。進(jìn)程數(shù)量是動態(tài)變化的，此處采集的數(shù)據(jù)是執(zhí)行掃描的時刻狀態(tài)為啟動中的進(jìn)程。您可以根據(jù)這里的數(shù)量，預(yù)估需要購買的應(yīng)用防護(hù)授權(quán)數(shù)。

   

支持防護(hù)PHP、Python、Go、.NET應(yīng)用嗎？

不支持。應(yīng)用防護(hù)功能僅支持接入Java應(yīng)用，暫不支持接入其他類型的應(yīng)用。

如何判斷應(yīng)用已成功接入應(yīng)用防護(hù)？

1. 登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實(shí)例的資源組和地域（中國內(nèi)地、非中國內(nèi)地）。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 應(yīng)用防護(hù)。

3. 在應(yīng)用防護(hù)頁面的應(yīng)用配置頁簽，單擊目標(biāo)應(yīng)用分組已授權(quán)實(shí)例列下的數(shù)字。

4. 在實(shí)例詳情面板，查看已接入的應(yīng)用列表。

   如果目標(biāo)服務(wù)器的應(yīng)用進(jìn)程PID在應(yīng)用列表中，則表示該應(yīng)用已成功接入應(yīng)用防護(hù)。

   

應(yīng)用防護(hù)對應(yīng)用運(yùn)行是否存在影響？

應(yīng)用防護(hù)設(shè)計(jì)時充分考慮了對系統(tǒng)性能、兼容性和穩(wěn)定性的影響，確保對應(yīng)用運(yùn)行的干擾降至最低。經(jīng)過實(shí)際測試，啟用應(yīng)用防護(hù)后，服務(wù)器CPU額外負(fù)荷不超過1%，內(nèi)存額外占用低于40 MB，應(yīng)用延遲（響應(yīng)時間）影響低于1毫秒。

為進(jìn)一步減少影響，引入了軟熔斷機(jī)制等應(yīng)急措施，最大程度保障應(yīng)用的平穩(wěn)運(yùn)行。更多信息，請參見資源使用量閾值說明。

如何選擇應(yīng)用防護(hù)模式？

應(yīng)用防護(hù)檢測到的攻擊是能夠?qū)嶋H產(chǎn)生安全威脅的行為，相比基于流量特征的傳統(tǒng)檢測技術(shù)而言，誤報(bào)率較低，所以必須重視應(yīng)用防護(hù)功能所檢測到的攻擊。在接入應(yīng)用防護(hù)后，應(yīng)用防護(hù)對攻擊的默認(rèn)防護(hù)模式為監(jiān)控。在應(yīng)用穩(wěn)定運(yùn)行后，您可切換為防護(hù)模式。

容器手動接入時配置的manager.key有什么作用？

將manager.key填寫到啟動命令中的主要目的是實(shí)現(xiàn)資產(chǎn)聯(lián)動。在云安全中心的漏洞管理功能中，應(yīng)用漏洞會對相應(yīng)的應(yīng)用進(jìn)行打標(biāo)，如果某些漏洞關(guān)聯(lián)的資產(chǎn)已安裝了RASP（Runtime Application Self-Protection）探針，需要標(biāo)記為已保護(hù)。云安全中心會獲取啟動命令，而這個manager.key就是為了與RASP應(yīng)用進(jìn)行關(guān)聯(lián)。

容器手動接入時可以不配置manager.key嗎？

不可以。

手動接入容器應(yīng)用時，必須要配置manager.key；手動接入主機(jī)應(yīng)用時無需配置，服務(wù)器中的應(yīng)用可以直接關(guān)聯(lián)到對應(yīng)資產(chǎn)。

為什么攻擊統(tǒng)計(jì)中沒有攻擊數(shù)據(jù)？

沒有攻擊數(shù)據(jù)可能存在以下兩種原因：

• 目標(biāo)應(yīng)用沒有完成接入。您可以重新將應(yīng)用進(jìn)程接入RASP。具體操作，請參見接入應(yīng)用防護(hù)。

• 沒有產(chǎn)生真實(shí)有效的攻擊行為。與傳統(tǒng)防火墻不同，應(yīng)用防護(hù)僅記錄真實(shí)有效的攻擊。傳統(tǒng)防火墻會在檢測到報(bào)文中存在惡意攻擊特征時進(jìn)行上報(bào)。但存在惡意特征不代表攻擊有效，例如利用PHP漏洞的攻擊請求在Java環(huán)境中則沒有意義。若產(chǎn)生真實(shí)有效的攻擊，一般表明攻擊者已成功突破外層防御，可以打入應(yīng)用內(nèi)部環(huán)境并執(zhí)行危險動作。您的應(yīng)用可能不會存在大量真實(shí)有效的攻擊，但發(fā)生時請務(wù)必引起重視，及時攔截或者修復(fù)相關(guān)安全漏洞。

弱點(diǎn)檢測和基線檢查弱口令檢查功能有什么區(qū)別？

弱點(diǎn)檢測是根據(jù)應(yīng)用運(yùn)行時的應(yīng)用行為以及內(nèi)存情況，判斷是否存在風(fēng)險項(xiàng)；基線檢查功能主要是進(jìn)行系統(tǒng)配置項(xiàng)掃描，例如CIS、等保、靜態(tài)文件檢測等。

應(yīng)用防護(hù)為什么會接入失敗？

接入失敗可能有以下兩種原因：

1. 如果主機(jī)上安裝了防病毒軟件，那么它有可能將云安全中心客戶段或RASP探針進(jìn)行了隔離，您可以在防病毒軟件的界面進(jìn)行檢查。

2. 如果是Linux系統(tǒng)，您需要檢查下root賬戶的密碼是否已經(jīng)過期。

如何判斷業(yè)務(wù)是否被應(yīng)用防護(hù)攔截阻斷？

如果業(yè)務(wù)日志中出現(xiàn)了AliCloudRaspSecurityException的運(yùn)行時異常，表示RASP識別到某些異常或潛在的安全威脅，已攔截對應(yīng)進(jìn)程的訪問行為。