Web基础防护功能

前提条件

已在CDN（Content Delivery Network，内容分发网络）服务的“域名管理”中，添加了域名，CDN的域名管理请参见域名管理。

应用场景

通过边缘安全服务对域名开启Web防护。

添加防护网站

1. 登录EdgeSec服务控制台。
2. 在左侧导航栏选择“安全防护 > 域名接入”，进入“安全防护”的“域名接入”页面。
3. 在列表左上角，单击“添加域名”，参数说明如表 添加防护网站参数说明所示。
   图1 添加防护网站
   

   表1 添加防护网站参数说明

   参数名称	参数说明
   网站名称	网站的名称。命名规则如下： 不可重名。 须以字母开头。 长度不能超过128个字符。 支持英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（-_:）。
   防护域名	选择防护域名，支持选择在CDN服务中“域名管理”页面“业务类型”为“网站加速”、“文件下载加速”、“点播加速”、“全站加速”的域名。
   策略配置	选择已创建的防护策略，默认为“系统自动生成策略”。

4. 单击“确定”，完成防护网站的添加。

防护策略

1. 在左侧导航栏选择“安全防护 > 域名接入”，进入“安全防护”的“域名接入”页面。
2. 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。
   图2 网站列表
   

3. 在“Web基础防护”配置框中，用户可根据自己的需要参照表2更改Web基础防护的“状态”。

   表2 防护动作参数说明

   参数	说明
   状态	Web应用防护攻击的状态。 ：开启状态。 ：关闭状态。

4. 在右侧“防护配置”页签，根据您的业务场景，开启合适的防护功能，检测项说明如表3所示。
   图3 Web基础防护
   
   

   当“模式”设置为“阻断”时，您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。

   1. 防护检测类型设置。
      

      默认开启“常规检测”防护检测，用户可根据业务需要，参照表3开启其他需要防护的检测类型。

   表3 检测项说明

   检测项	说明
   常规检测	防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明： 开启“常规检测”后，边缘安全将根据内置规则对常规检测项进行检测。
   Webshell检测	防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，边缘安全将对通过上传接口植入的网页木马进行检测。

使用建议

• 如果您对自己的业务流量特征还不完全清楚，建议先切换到“仅记录”模式进行观察。一般情况下，建议您观察一至两周，然后分析仅记录模式下的攻击日志。
  • 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用拦截防护。
  • 如果发现攻击日志中存在正常业务流量，建议调整防护等级或者设置全局白名单（原误报屏蔽）来避免正常业务的误拦截。
• 业务操作方面应注意以下问题：
  • 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。
  • 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“https://www.example.com/abc/update/mod.php?set=1”。
  • 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。

防护效果

开启Web基础防护功能后，在浏览器中输入模拟SQL注入攻击的测试域名，边缘WAF将拦截此条攻击。您可以在“安全总览”页面，查看攻击的拦截详情，如图5所示。

图4 SQL攻击拦截

图5 Web安全统计

在“防护事件”页面，您可查看“昨天”、“今天”、“3天”、7天、“30天”或者自定义时间范围内的防护日志。同时，单击“详情”，可以查看具体的攻击信息。