更新时间:2024-10-31 GMT+08:00

Web基础防护功能

前提条件

已在CDN(Content Delivery Network,内容分发网络)服务的“域名管理”中,添加了域名,CDN的域名管理请参见域名管理

应用场景

通过边缘安全服务对域名开启Web防护。

添加防护网站

  1. 登录管理控制台
  2. 单击页面左上方的,选择CDN与智能边缘 > CDN与安全防护
  3. 在左侧导航栏选择安全防护 > 域名接入,进入“安全防护”“域名接入”页面。
  4. 在列表左上角,单击“添加防护网站”,参数说明如表 添加防护网站参数说明所示。

    图1 添加防护网站
    表1 添加防护网站参数说明

    参数名称

    参数说明

    网站名称

    网站的名称。命名规则如下:

    • 不可重名。
    • 须以字母开头。
    • 长度不能超过128个字符。
    • 支持英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_:)。

    防护域名

    选择防护域名,仅支持选择在CDN服务中“域名管理”页面“业务类型”“网站加速”的域名。

    网站备注

    网站补充信息。

    策略配置

    选择已创建的防护策略,默认为“系统自动生成策略”

  5. 单击“确定”,完成防护网站的添加。

防护策略

  1. 在左侧导航栏选择安全防护 > 域名接入,进入“安全防护”“域名接入”页面。
  2. 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。

    图2 网站列表

  3. “Web基础防护”配置框中,用户可根据自己的需要参照表2更改Web基础防护的“状态”“模式”

    图3 Web基础防护配置框
    表2 防护动作参数说明

    参数

    说明

    状态

    Web应用防护攻击的状态。

    • :开启状态。
    • :关闭状态。

  4. “Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。
  5. “防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表4所示。

    图4 Web基础防护

    “模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准

    1. 防护等级设置。

      在页面右上角,选择防护等级,Web基础防护设置了三种防护等级:“宽松”“中等”“严格”,默认情况下,选择“中等”

      表3 防护等级说明

      防护等级

      说明

      宽松

      防护粒度较粗,只拦截攻击特征比较明显的请求。

      当误报情况较多的场景下,建议选择“宽松”模式。

      中等

      默认为“中等”防护模式,满足大多数场景下的Web防护需求。

      严格

      防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。

      建议您等待业务运行一段时间后,根据防护效果配置全局白名单规则,再开启“严格”模式。

    2. 防护检测类型设置。

      默认开启“常规检测”防护检测,用户可根据业务需要,参照表4开启其他需要防护的检测类型。

    表4 检测项说明

    检测项

    说明

    常规检测

    防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。

    说明:

    开启“常规检测”后,边缘安全将根据内置规则对常规检测项进行检测。

    Webshell检测

    防护通过上传接口植入网页木马。

    说明:

    开启“Webshell检测”后,边缘安全将对通过上传接口植入的网页木马进行检测。

使用建议

  • 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。
    • 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。
    • 如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置全局白名单(原误报屏蔽)来避免正常业务的误拦截。
  • 业务操作方面应注意以下问题:
    • 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。
    • 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如:“https://www.example.com/abc/update/mod.php?set=1”
    • 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用对象存储服务或者其他方式上传。

防护效果

开启Web基础防护功能后,在浏览器中输入模拟SQL注入攻击的测试域名,边缘WAF将拦截此条攻击。您可以在“安全总览”页面,查看攻击的拦截详情,如图6所示。

图5 SQL攻击拦截
图6 Web安全统计

“防护事件”页面,您可查看“昨天”“今天”“3天”、7天、“30天”或者自定义时间范围内的防护日志。同时,单击“详情”,可以查看具体的攻击信息,如图7所示。

图7 防护事件列表