更新时间:2024-03-11 GMT+08:00

WAF操作指引

开通Web应用防火墙(WAF)服务后并将您的网站域名接入WAF,使网站的访问流量全部流转到WAF进行防护。

使用流程

相关流程如图1,具体说明如表1所示。

图1 WAF使用流程
表1 WAF使用流程说明

操作

说明

申请WAF实例

通过申请独享引擎开通WAF。

接入WAF

添加需要防护的网站,WAF保护网站业务安全稳定。

说明:
  • WAF引擎不是运行在客户的Web服务器上的,所以对客户的Web服务器的资源性能没有影响。
  • 接入WAF之后,根据请求页面的大小和数量,会有几十毫秒的延迟。

配置防护策略

防护策略是多种防护规则的合集,用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则,一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

日志分析

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面,通过查看并分析防护日志,对网站的防护策略进行调整,也可以对误报时间进行屏蔽。

配套功能

按照使用流程完成网站配置后,您也可以使用以下功能增强网站的安全性能。

表2 配套功能

功能

说明

安全总览

可查看到昨天、今天、3天、7天或者30天范围内的防护数据。

配置PCI DSS/3DS合规与TLS配置TLS最低版本和加密套件

WAF默认配置的最低TLS版本为TLS v1.0,加密套件为加密套件1,为了确保网站安全,建议您将网站的最低TLS版本和TLS加密套件配置为安全性更高TLS版本和加密套件。

配置网站连接超时时间

  • 浏览器到WAF引擎的连接超时时长默认是120秒,该值取决于浏览器的配置,该值在WAF界面不可以手动设置。
  • WAF到客户源站的连接超时时长默认为30秒,该值可以在WAF界面手动设置。

配置连接保护

网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。

配置攻击惩罚的流量标识

WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。

修改拦截返回页面

当访问者触发WAF拦截时,默认返回WAF“系统默认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。

管理证书

将证书上传到WAF,添加防护网站时可直接选择上传到WAF的证书。

管理独享引擎

创建WAF独享引擎实例后,您可以查看实例信息、查看实例的监控信息、升级实例版本以及删除实例。

查看产品信息

您可以在产品信息界面查看WAF产品信息,包括申请的WAF版本、域名规格等信息。