文档首页 > > 最佳实践> Web基础防护功能最佳实践

Web基础防护功能最佳实践

分享
更新时间:2020/08/17 GMT+08:00

本文介绍了华为云WAF的Web攻击防护最佳实践,主要从应用场景、防护策略、防护效果三个方面进行介绍。

应用场景

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击。

防护策略

  1. 登录管理控制台
  2. 单击页面左上方的,在右侧弹框中选择安全 > Web应用防火墙,在左侧导航树中选择“域名配置”,进入“域名配置”页面。
  3. 在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护配置”页面。
  4. “Web基础防护”配置框中,查看Web应用攻击防护的防护状态,如图1所示。

    图1 Web基础防护配置框

    Web基础防护功能默认为开启状态,并使用“仅记录”模式的防护规则策略。

    • 状态
      • :表示WAF的Web基础防护的防护模块已开启。
      • :表示该防护模块处理关闭状态。
    • 模式:分为拦截和仅记录两种模式。
      • “拦截”模式表示当遭受Web攻击时,WAF立即拦截攻击请求,并在后台记录攻击日志。
      • “仅记录”模式表示当遭受Web攻击时,WAF不会拦截攻击请求,仅在后台记录攻击日志。

  5. 单击“高级设置”,进入“Web基础防护”界面,如图2所示。

    图2 Web基础防护
    • “防护等级”:分为宽松、中等、严格三种模式,默认为“中等”防护模式。
      表1 防护等级说明

      防护等级

      说明

      宽松

      防护粒度较粗,只拦截攻击特征比较明显的请求。

      当误报情况较多的场景下,建议选择“宽松”模式。

      中等

      默认为“中等”防护模式,满足大多数场景下的Web防护需求。

      严格

      防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求。

      当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时,建议使用“严格”模式。

    • 灵活设置防护检测类型。

      WAF默认开启“常规检测”“扫描器”防护检测,用户可根据业务需要,开启其他需要防护的检测类型。

使用建议

  • 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。
    • 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。
    • 如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置误报屏蔽来避免正常业务的误拦截。
  • 业务操作方面应注意以下问题:
    • 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。
    • 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如:“https://www.example.com/abc/update/mod.php?set=1”
    • 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用对象存储服务或者其他方式上传。

防护效果

开启Web基础防护功能后,您可以在“安全总览”页面,查看攻击的拦截日志,如图3所示。

图3 查看防护日志

“防护事件”页面,您可查看“昨天”“今天”“3天”、7天、“30天”或者自定义时间范围内的防护日志。同时,单击“详情”,可以查看具体的攻击信息,如图4所示。

图4 选择指定域名
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问