更新时间:2025-05-15 GMT+08:00

配置Web基础防护规则防御常见Web攻击

Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。

使用建议

  • 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。
    • 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。
    • 如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置全局白名单来避免正常业务的误拦截。
  • 业务操作方面应注意以下问题:
    • 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JavaScript代码。
    • 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如:“https://www.example.com/abc/update/mod.php?set=1”
    • 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用对象存储服务或者其他方式上传。

前提条件

已添加防护网站。

约束条件

  • Web基础防护支持“拦截”“仅记录”模式。
  • 当Web基础防护设置为“拦截”模式时,您可以配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
  • 目前华东-青岛、亚太-马尼拉区域不支持Shiro解密检测功能。

开启Web基础防护规则

  1. 登录管理控制台。
  2. 在管理控制台左上角,单击,选择区域或项目。
  3. 在页面左上方,单击,选择安全 > Web应用防火墙 WAF
  4. 在左侧导航栏,单击“防护策略”
  5. 单击目标策略名称,进入目标策略的防护配置页面。
  6. “Web基础防护”配置框中,用户可根据自己的需要参照表1更改Web基础防护的“状态”“模式”

    图1 Web基础防护配置框
    表1 防护动作参数说明

    参数

    说明

    状态

    Web应用防护攻击的状态。

    • :开启状态。
    • :关闭状态。

    模式

    • 拦截:发现攻击行为后立即阻断并记录。
    • 仅记录:发现攻击行为后只记录不阻断攻击。

  7. “Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。
  8. 选择“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表3所示。

    图2 Web基础防护
    1. 防护动作设置。
      • 拦截:发现攻击行为后立即阻断并记录。

        设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准封禁访问者指定时长

      • 仅记录:发现攻击行为后只记录不阻断攻击。
    2. 防护等级设置。

      在页面上方,选择防护等级,Web基础防护设置了三种防护等级:“宽松”“中等”“严格”,默认情况下,选择“中等”

      表2 防护等级说明

      防护等级

      说明

      宽松

      防护粒度较粗,只拦截攻击特征比较明显的请求。

      当误报情况较多的场景下,建议选择“宽松”模式。

      中等

      默认为“中等”防护模式,满足大多数场景下的Web防护需求。

      严格

      防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测Druid SQL注入攻击。

      建议您等待业务运行一段时间后,根据防护效果配置全局白名单规则,再开启“严格”模式,使WAF能有效防护更多攻击。

    3. 防护检测类型设置。

      默认开启“常规检测”防护检测,用户可根据业务需要,参照表3开启其他需要防护的检测类型。

      表3 检测项说明

      检测项

      说明

      常规检测

      防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。

      说明:

      开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。

      Webshell检测

      防护通过上传接口植入网页木马。

      说明:

      开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。

      深度检测

      防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。

      说明:

      开启“深度检测”后,WAF将对深度反逃逸进行检测防护。

      header全检测

      默认关闭。关闭状态下WAF会检测常规存在注入点的header字段,包含User-Agent、Content-type、Accept-Language和Cookie。

      说明:

      开启“header全检测”后,WAF将对请求里header中所有字段进行攻击检测。

防护效果验证

假如已添加域名“www.example.com”,且已开启了Web基础防护的“常规检测”,防护模式为“拦截”。您可以参照以下步骤验证WAF防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照网站设置章节重新完成域名接入。
    • 能正常访问,执行2

  2. 清理浏览器缓存,在浏览器中输入“http://www.example.com?id=1%27%20or%201=1”模拟SQL注入攻击。
  3. 返回Web应用防火墙控制界面,在左侧导航栏,单击“防护事件”,在“防护事件”页面,查看防护域名拦截日志。

配置示例-拦截SQL注入攻击

假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证WAF拦截SQL注入攻击。

  1. 开启Web基础防护的“常规检测”,并将防护模式设置为“拦截”
  2. 开启Web基础防护。

    图3 Web基础防护配置框

  3. 清理浏览器缓存,在浏览器中输入模拟SQL注入攻击(例如,http://www.example.com?id=' or 1=1)。

    WAF将拦截该访问请求,拦截页面示例如图4所示。

    图4 WAF拦截攻击请求

  4. 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。