Web基础防护功能
前提条件
已在CDN(Content Delivery Network,内容分发网络)服务的“域名管理”中,添加了域名,CDN的域名管理请参见域名管理。
应用场景
通过边缘安全服务对域名开启Web防护。
添加防护网站
- 登录管理控制台。
- 单击页面左上方的,选择 。
- 在左侧导航栏选择“安全防护”的“域名接入”页面。 ,进入
- 在列表左上角,单击“添加防护网站”,参数说明如表 添加防护网站参数说明所示。
图1 添加防护网站
- 单击“确定”,完成防护网站的添加。
防护策略
- 在左侧导航栏选择“安全防护”的“域名接入”页面。 ,进入
- 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。
图2 网站列表
- 在“Web基础防护”配置框中,用户可根据自己的需要参照表2更改Web基础防护的“状态”和“模式”。
图3 Web基础防护配置框
- 在“Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。
- 在“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表4所示。
图4 Web基础防护
当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。
- 防护等级设置。
在页面右上角,选择防护等级,Web基础防护设置了三种防护等级:“宽松”、“中等”、“严格”,默认情况下,选择“中等”。
表3 防护等级说明 防护等级
说明
宽松
防护粒度较粗,只拦截攻击特征比较明显的请求。
当误报情况较多的场景下,建议选择“宽松”模式。
中等
默认为“中等”防护模式,满足大多数场景下的Web防护需求。
严格
防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。
建议您等待业务运行一段时间后,根据防护效果配置全局白名单规则,再开启“严格”模式。
- 防护检测类型设置。
默认开启“常规检测”防护检测,用户可根据业务需要,参照表4开启其他需要防护的检测类型。
- 防护等级设置。
使用建议
- 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。
- 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。
- 如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置全局白名单(原误报屏蔽)来避免正常业务的误拦截。
- 业务操作方面应注意以下问题:
- 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。
- 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如:“https://www.example.com/abc/update/mod.php?set=1”。
- 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用对象存储服务或者其他方式上传。