日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 Web應用防火墻 Web應用防火墻3.0 操作指南 防護配置 防護配置概述

防護配置概述

更新時間:
產品詳情
我的收藏

本文介紹了Web應用防火墻(Web Application Firewall,簡稱WAF)服務防護配置的相關術語、配置流程、防護模塊概覽及典型配置案例。

防護配置流程

Web業務接入WAF防護后,您可以參照以下步驟,為Web業務配置 防護規則 。不同接入方式下的防護配置流程略有差異。

步驟

云產品接入

CNAME接入

1. 添加 防護對象

完成云產品接入的云產品實例已被自動添加為WAF的防護對象。

如需為實例中的域名配置獨立的防護規則(例如,實例中有多個域名,不同域名需要配置不同的防護規則),必須手動將域名添加為WAF的防護對象。具體操作,請參見配置防護對象和防護對象組。

無需執行。

完成CNAME接入的域名已被自動添加為WAF的防護對象。

2. (可選)將防護對象加入 防護對象組 。

如需為多個防護對象配置同樣的防護規則,可以將多個對象加入到一個防護對象組(簡稱對象組),然后為對象組配置防護規則。對象組的防護規則對組內所有對象生效。

使用對象組時,必須先創建一個對象組并為對象組關聯防護對象。具體操作,請參見新建防護對象組。

3. 定義規則模板。

如需啟用某個 防護模塊 ,則防護模塊下必須先有規則模板,然后您可將規則模板應用到指定的防護對象或對象組。

Web核心防護規則白名單模塊已內置默認規則模板,無需您手動創建規則模板;如需啟用其他防護模塊,則必須先手動創建規則模板。更多信息,請參見防護模塊概覽。

您可以定義多套規則模板,為不同防護對象應用不同的防護規則。更多信息,請參見多套規則模板應用示例。

4. 管理防護規則。

您可以在不同防護模塊下的規則模板中管理具體的防護規則,例如啟用或禁用規則、新增規則等。規則模板中發生的規則變動將直接應用到該規則模板的生效對象。

不同規則模板支持的規則操作不完全相同。更多信息,請參見防護模塊概覽

防護模塊概覽

下表描述了WAF支持的所有防護模塊,以及不同防護模塊的默認配置。

防護模塊

說明

默認規則模板

配置建議

Web核心防護規則

基于阿里云安全內置的 防護規則集 ,幫助Web業務防御SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。

內置一套默認規則模板(包含WAFWeb核心防護規則集)。規則模板默認啟用,且采用攔截模式。

重要

新接入WAF防護的對象默認受到Web核心防護規則的防護,Web核心防護規則會自動攔截攻擊請求。

建議保持默認配置。

業務接入WAF防護一段時間后,如果您發現Web核心防護規則集存在誤攔截,可以通過設置白名單規則,屏蔽產生誤攔截的Web核心防護規則。相關操作,請參見設置白名單規則放行特定請求

防護規則組

說明

防護規則組功能已升級迭代為引擎配置功能詳見【公告】。

支持默認規則組和自定義規則組。您可以根據業務需要,將規則組關聯到Web核心防護規則模板,幫助網站防御各種常見的Web應用攻擊。

內置一套默認規則組。

如需啟用自定義規則組,必須新建一個規則組模板,并配置相關規則。

白名單

白名單模塊允許您根據業務場景,自定義放行具有指定特征的請求,使請求不經過全部或特定防護模塊的檢測。

內置一套默認規則模板(未定義任何規則)。規則模板默認啟用。

如需放行具有指定特征的業務請求流量,可以在默認規則模板下新建白名單規則。

CC防護

基于內置的通用CC防護算法,緩解產品規格內的高頻請求(HTTP Flood)攻擊。您也可以通過自定義規則中的頻率限制進行更加靈活的自定義CC防護。

內置一套默認規則模板(未定義任何規則)。規則模板默認啟用。

說明

僅包年包月高級版、包年包月企業版及包年包月旗艦版包含默認開啟的默認規則模板。

如需啟用自定義規則,必須新建一個規則模板,并配置相關規則。

掃描防護

掃描防護模塊通過識別掃描行為和掃描器特征,阻止攻擊者或掃描器對網站的大規模掃描行為,幫助Web業務降低被入侵的風險并減少掃描帶來的垃圾流量。

內置一套默認規則模板(未定義任何規則)。規則模板默認啟用。

說明

僅包年包月高級版、包年包月企業版及包年包月旗艦版包含默認開啟的默認規則模板。

如需啟用自定義規則,必須新建一個規則模板,并配置相關規則。

IP黑名單

IP黑名單模塊允許您根據業務場景,自定義攔截來自特定IP地址(IPv4IPv6地址)或地址段的請求。

不提供默認規則模板,當前防護模塊默認未啟用。

如需啟用當前防護模塊,必須新建一個規則模板,并配置相關規則。

自定義規則

自定義規則模塊允許您基于自定義的HTTP請求特征或特征組合,對符合條件的請求執行攔截、驗證、記錄日志等處置。

您也可以選擇限速模式,將訪問超出一定頻率的統計對象(例如IP、會話)加入黑名單,在黑名單有效期內對統計對象執行相應處置。

自定義響應

自定義響應模塊允許您自定義客戶端請求被WAF攔截時,WAF返回給客戶端的攔截頁面的樣式和內容,包含響應碼、響應頭、響應體。

區域封禁

一鍵封禁來自特定區域的客戶端IP。

網頁防篡改

幫助您鎖定需要保護的網站頁面,被鎖定的頁面在收到請求時,返回已設置的緩存頁面。

信息泄露防護

幫助您過濾服務器返回內容(異常頁面或關鍵字)中的敏感信息,如身份證號、銀行卡號、電話號碼和敏感詞匯等,進行脫敏顯示。

Bot管理-基礎防護規則

基于四/七層流量指紋識別Bot流量,一鍵開啟防護。

Bot管理-網頁防爬場景化防護規則

基于客戶端、流量、行為和情報等多維度特征識別機器(Bot)流量,放行搜索引擎等好的Bot,緩解惡意Bot帶來的帶寬增加、數據爬取、垃圾注冊/下單/投票、接口濫刷等風險。

Bot管理-App防爬場景化防護規則

重保場景防護

支持特定時間段的重大活動安全保障,為您提供更加精準和定制化的防御模式。

不提供默認規則模板,當前防護模塊默認未啟用。

如需啟用當前防護模塊,必須新建一個規則模板,并配置相關規則。

API安全

支持自動梳理已接入WAF防護的業務的API資產,檢測API風險(例如未授權訪問、敏感數據過度暴露、內部接口泄露等),并通過報表還原API異常事件,提供詳細的風險處理建議和API生命周期管理參考數據。

不涉及。

洪峰限流

支持使用QPS限流或者百分比限流的方式嚴格控制進入服務器的請求數量,并能篩選訪問來源地區的流量。

不提供默認規則模板,當前防護模塊默認未啟用。

如需啟用當前防護模塊,必須新建一個規則模板,并配置相關規則。

重要

不同WAF版本支持的防護功能存在差異,例如洪峰限流功能只能在包年包月高級版及以上的版本中開通,更多功能差異信息請參考版本說明。

一鍵關閉WAF防護功能

當您需要臨時關閉WAF防護時,您可以在WAF 3.0控制臺的防護對象頁面中,關閉WAF防護開關。如下圖所示。

image

當開關關閉時,您接入網站的流量會臨時繞行WAF防護引擎,并不再記錄攔截和觀察日志。在您完成應急測試等需要臨時關閉WAF的操作后,推薦您盡快返回WAF 3.0控制臺的防護對象頁面,打開WAF防護開關,記錄攔截和觀察日志,減少您資產的暴露風險。若您關閉了WAF防護開關或功能,但配置了API安全防護,相關檢測流程仍將繼續執行。

重要

對于開通按量計費版本的用戶,即使通過開關臨時關閉WAF防護,仍會正常收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。Bot管理流量費、風險識別服務及自定義規則的流量計費將暫停。

說明

  • 云產品接入中,微服務引擎(MSE)與函數計算(FC)尚不支持一鍵關閉繞過功能。針對混合云部署,該功能需達到指定版本方可生效。詳情請咨詢您的商務經理,或通過工單提交咨詢,我們的支持團隊將為您提供精確的版本要求信息。

多套規則模板應用示例

在一個防護模塊下定義多套規則模板,可以實現為不同防護對象配置不同的防護規則,滿足多樣化的業務防護需求。

Web核心防護規則模塊為例:該模塊內置了一套默認規則模板(規則動作攔截),直接應用于所有新接入WAF防護的對象。如果WAF檢測到防護對象上的攻擊請求,將會攔截攻擊請求。

如果您希望對后續新接入WAF防護的對象采用觀察模式(不攔截攻擊請求,只記錄請求命中了規則),只對已接入WAF防護的業務采用攔截模式,則可以按以下方式配置。

  • 將默認規則模板的規則動作設置為觀察。

  • 新建一個 基礎防護規則模板 ,將該模板的規則動作設置為攔截,并將生效對象設置為已接入WAF防護的所有防護對象。

完成以上配置后,新接入WAF防護的對象默認采用觀察模式,您可以在確認WAF無誤攔截后,再將防護對象關聯到使用攔截模式的規則模板。